NÚKIB upozorňuje na hrozbu spojenou s aplikací WeChat společnosti Tencent

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) upozorňuje na hrozbu v oblasti kybernetické bezpečnosti spočívající v používání mobilní aplikace WeChat a její čínské verze Weixin (dále jen WeChat) společnosti Tencent. Kombinace velkého objemu sbíraných uživatelských dat, jejichž množství a způsob sběru mohou sloužit k přesnému zacílení kybernetických útoků, působení v právním prostředí Čínské lidové republiky (ČLR) a vlivové působení ČLR v České republice vede k důvodné obavě ze zneužití dat, která aplikace shromažďuje. Ačkoliv je v České republice počet aktivních uživatelů této aplikace v porovnání s jinými podobnými platformami výrazně nižší, může se mnohdy jednat o exponované osoby, jako jsou diplomaté, obchodníci, akademici nebo čínští disidenti. Tyto osoby pak mohou být cílem sběru citlivých informací, které lze později zneužít např. k vydírání nebo jiné formě prosazování zájmů škodlivých aktérů.

Aplikaci a sociální síť s řadou dalších funkcí WeChat vyvinula a provozuje společnost Tencent se sídlem v čínském Šen-Čenu. Platformu ve světě využívá přibližně 1,3 miliardy aktivních uživatelů. Nejvíce se jich nachází v ČLR a v zemích s většími čínskými komunitami. V České republice má WeChat sice nízký počet aktivních uživatelů, ale často jde o výše zmíněné exponované osoby, které cestují do ČLR nebo aplikaci potřebují pro komunikaci s čínskými partnery a protějšky. Hrozba související s aplikací WeChat je velmi podobná těm, která je spojena s používáním aplikace TikTok čínské společnosti ByteDance, před kterou NÚKIB varoval 8. března 2023. Nejpodstatnějším rozdílem a zároveň důvodem, proč NÚKIB přistoupil v případě platformy WeChat k upozornění a nikoli k vydání varování, jako se stalo v případě TikToku, je právě menší rozšířenost této aplikace v České republice.

NÚKIB doporučuje všem, kdo potřebují WeChat používat, aby měli aplikaci nainstalovanou na separátním zařízení. Pokud to není možné, doporučujeme ji mít ve svém zařízení pouze na dobu nezbytně nutnou a povolovat pouze oprávnění relevantní pro využívané funkcionality aplikace.

Důvody vedoucí NÚKIB k vydání upozornění

Aplikace WeChat ve verzi pro operační systémy Android i iOS sbírá velký objem dat ze zařízení uživatele (více např. zde, zde a zde), která nutně nepotřebuje pro své fungování. Množství dat a způsob jejich sběru může sloužit k zacílení kybernetických útoků na konkrétní osoby, a tím zvýšit riziko úspěšné kompromitace (např. prostřednictvím spear-phishingu). Mezinárodní verze aplikace také disponuje funkcionalitou stažení a instalace kódu bez vědomí uživatele, což lze zneužít k neautorizované instalaci malware do zařízení. Aplikace rovněž nedisponuje funkcí koncového, tzv. end-to-end, šifrování a veškerá komunikace tedy prochází servery, k jejichž obsahu má přístup společnost Tencent. To se může projevovat mimo jiné cenzurou soukromých zpráv, které obsahují určitá klíčová slova či jiný obsah označený společností Tencent za závadný (více zde a zde).

Společnost Tencent je subjektem spadajícím do působnosti čínské národní legislativy a regulace. Tamní legislativa, konkrétně zákon o státní bezpečnosti, zákon o státní zpravodajské činnosti, zákon o státní kontrašpionážní činnosti, zákon o obchodních společnostech či pravidla pro nahlašování zranitelností v síťových zařízeních, ukládají institucím, komerčním subjektům i jednotlivcům povinnost různými způsoby spolupracovat s čínskými bezpečnostními složkami i v případě, že to jde proti zájmu jejich zahraničních partnerů či zákazníků. Dle otevřených zdrojů (více např. zde) i informací od partnerů NÚKIB je společnost Tencent úzce provázána se státním aparátem ČLR a Komunistickou stranou Číny.

S odvoláním na výroční zprávu Bezpečnostní informační služby (dále jen „BIS“) za rok 2022 představuje ČLR rostoucí komplexní zpravodajskou hrozbu. Podle této zprávy čínské zpravodajské služby vykonávají vlivové operace ve prospěch ČLR na úkor zájmů České republiky a jejich činnost je na našem území na vysoké úrovni. Mimo to nelze podle BIS a NÚKIB pominout ani vysokou aktivitu čínských aktérů v kyberprostoru zaměřenou proti České republice a dalším členům Evropské unie a Severoatlantické aliance. Vydání upozornění je rovněž v souladu s vybranými body (odst. 28 a 29) Bezpečnostní strategie České republiky 2023.