petipas.pt

Grupos de WhatsApp podem ser um risco: altere já esta configuração padrão.

Pessoa a usar telemóvel com WhatsApp aberto, computador portátil e candado metálico numa secretária de madeira.

De repente, está numa nova grupo do WhatsApp - e o seu telemóvel pode transformar-se numa porta de entrada para atacantes, mesmo sem tocar em nada.

Milhões de pessoas organizam o dia a dia com grupos do WhatsApp. O que muita gente desconhece é que uma opção discreta, activada por defeito na aplicação, pode facilitar a entrada de ficheiros maliciosos em smartphones Android. Investigadores de segurança deixaram um alerta sério e recomendam alterar duas definições-chave para reduzir o risco.

WhatsApp no Android: porque é que os grupos podem tornar-se um problema de segurança

Os grupos do WhatsApp são extremamente úteis: família, amigos, colegas, escola dos miúdos, associação desportiva - a maioria das pessoas participa em vários chats ao mesmo tempo. No meio desta dinâmica, circulam fotografias, documentos, notas de voz e ligações, muitas vezes em sequência rápida.

O problema é que esta conveniência também abre espaço a abusos. Em muitos casos, acaba-se num grupo sem uma decisão consciente: um conhecido distante, um contacto antigo ou alguém que tenha o seu número pode adicioná-lo de forma directa. De repente, desconhecidos passam a ver o seu número de telefone, a fotografia de perfil e, frequentemente, também o estado.

Isto não é apenas uma questão de privacidade. Pode traduzir-se em spam, publicidade indesejada, tentativas de burla e ataques dirigidos. Foi precisamente este cenário que investigadores do Google Project Zero e da empresa de cibersegurança Malwarebytes demonstraram como podendo ser explorado de forma particularmente sensível.

O que os investigadores descobriram: ataques sem clique

Segundo os especialistas, um atacante precisa, antes de mais, de um elemento simples: o seu número guardado (ou disponível) para o conseguir adicionar. Com esse número, pode criar um novo grupo e inserir a vítima - mesmo que a relação entre ambos seja mínima ou praticamente inexistente.

Em grupos acabados de criar, é possível enviar ficheiros manipulados que, em dispositivos Android, podem ser descarregados automaticamente - sem qualquer acção do utilizador.

A sequência de risco descrita é esta:

  • É criado um novo grupo
  • A vítima é adicionada sem ser previamente consultada
  • É enviado para o chat um ficheiro “preparado” (imagem, vídeo ou documento)
  • O ficheiro pode ficar guardado automaticamente no armazenamento do smartphone

Daqui resulta um possível caminho de ataque: o utilizador pode nem sequer abrir o WhatsApp de propósito, mas o ficheiro já se encontra no dispositivo. Dependendo de vulnerabilidades existentes no sistema operativo ou na própria aplicação, esse download pode servir como ponto de partida para ataques subsequentes.

O que está por trás do “download automático” no WhatsApp

Em muitos Android, o WhatsApp vem configurado para descarregar automaticamente conteúdos multimédia recebidos: imagens, áudio, vídeos e, em alguns casos, também documentos. A intenção é “facilitar” a vida (por exemplo, permitindo downloads apenas por Wi‑Fi para poupar dados móveis), mas isso retira controlo ao utilizador.

Os downloads automáticos são cómodos - mas mudam a lógica de “eu decido” para “a app decide por mim”.

Em conversas individuais, este comportamento pode passar despercebido. Já em grupos com participantes desconhecidos, o contexto muda por completo: não é claro quem está por trás de cada perfil nem quais as intenções de quem envia um ficheiro inesperado.

A falha descrita pelos investigadores afecta sobretudo o WhatsApp em Android, explorando o facto de conteúdos em grupos poderem ser descarregados sem confirmação e ficarem “à espera” no dispositivo como um potencial vector de ataque.

O WhatsApp já reagiu - mas o utilizador tem de ajustar as definições

De acordo com a Malwarebytes, foi disponibilizada uma correcção (patch). Quem actualiza a aplicação com regularidade beneficia dessa melhoria e de outros mecanismos de protecção.

Ainda assim, há um ponto crítico: as actualizações raramente alteram as preferências de privacidade e transferência de ficheiros já definidas. Ou seja, quem tinha configurações permissivas tende a continuar com elas. Por isso, os investigadores recomendam duas mudanças concretas nas definições.

Passo 1: controlar quem o pode adicionar a grupos

O primeiro passo é impedir que qualquer pessoa o coloque em grupos sem controlo. No Android e no iOS, esta opção encontra-se nas definições de privacidade do WhatsApp.

Como alterar as definições de “Grupos”

  • Abrir o WhatsApp
  • No Android: tocar nos três pontos (canto superior direito)
    No iOS: abrir Definições (canto inferior direito)
  • Seleccionar Privacidade
  • Tocar em Grupos
  • Em vez de Todos, escolher Os meus contactos
  • Para maior protecção: seleccionar Os meus contactos excepto… e excluir contactos de maior risco

Manter “Todos” activado equivale a deixar estranhos entrar na sua cronologia de grupos - e, por arrasto, aceder ao seu número e à sua fotografia de perfil.

Este cuidado é especialmente relevante para perfis mais expostos: pessoas com presença pública, jornalistas, colaboradores com telemóvel de empresa, ou quem partilha o número com muitos clientes e contactos profissionais. Quanto menos pessoas puderem iniciar grupos consigo, menor é a superfície de ataque.

Passo 2: desactivar o download automático de multimédia

A segunda alavanca é impedir que o WhatsApp descarregue automaticamente fotos, vídeos e outros ficheiros. Esta opção está nas definições de armazenamento e dados.

Como bloquear os downloads automáticos no Android

  • No WhatsApp, tocar novamente nos três pontos
  • Abrir Definições
  • Ir a Armazenamento e dados
  • Em Download automático de multimédia, rever as opções para Dados móveis, Wi‑Fi e Roaming
  • Nos três itens, desmarcar todos os tipos de multimédia (ou permitir apenas tipos muito específicos e limitados)

A partir daí, quando chegar um ficheiro, o WhatsApp passa a pedir acção explícita: só descarrega quando tocar no conteúdo. Esse passo adicional faz diferença.

Sem download automático, cada ficheiro tem de ser “autorizado” por si - e isso reduz drasticamente o risco.

Afinal, quão grande é o perigo?

A vulnerabilidade descrita é particularmente relevante em cenários específicos: grupos recém-criados onde o download automático está activo e onde são enviados ficheiros manipulados. Profissionais de segurança sublinham que alvos com dados sensíveis tendem a ser mais atractivos - por exemplo, pessoas que trabalham em organismos públicos, empresas, saúde, investigação ou infra-estruturas críticas.

No entanto, utilizadores comuns também podem entrar no radar. Quem divulga o número com frequência em plataformas de compra e venda em segunda mão, participa em associações com grande rotação de membros, ou tem visibilidade em redes sociais, aumenta a probabilidade de o número circular - e esse é um dos “pedaços” essenciais para iniciar o ataque.

Outros riscos comuns em grupos do WhatsApp (para lá dos downloads)

Mesmo sem esta falha, os grupos trazem riscos que muitas vezes são subestimados:

  • Abuso da fotografia de perfil: desconhecidos podem guardar a imagem e reutilizá-la em perfis falsos ou tentativas de usurpação de identidade.
  • Mensagens de phishing: ligações mascaradas de “passatempos”, “prémios” ou alertas urgentes (por exemplo, falsas mensagens de segurança).
  • Engenharia social: ao longo do tempo, um atacante pode ganhar confiança para obter dados pessoais.
  • Partilha indevida de informação: capturas de ecrã de conversas de grupo podem sair rapidamente do contexto original.

Manter uma postura desconfiada perante convites e participantes desconhecidos reduz significativamente estes riscos. Um grupo com muitos perfis que não conhece não é um espaço privado - mesmo que pareça.

Boas práticas para um uso mais seguro do WhatsApp

Além das duas definições essenciais, algumas rotinas simples ajudam no dia a dia:

  • Evitar partilhar documentos sensíveis (cartão de cidadão, contratos, dados de saúde) em grupos grandes
  • Escolher uma fotografia de perfil que não revele detalhes sobre morada, crianças ou local de trabalho
  • Não abordar directamente números desconhecidos dentro do grupo
  • Confirmar ligações suspeitas abrindo manualmente no browser (em vez de tocar de imediato)
  • Manter o WhatsApp e o Android sempre actualizados

Muitos utilizadores subestimam o valor do seu número de telefone. Combinado com nome, fotografia e histórico de conversas, pode construir-se um perfil útil para burlas direccionadas.

Medidas extra (recomendadas) para reforçar a protecção

Para complementar as definições de grupos e o download automático, vale a pena adoptar mais duas camadas de segurança:

Em primeiro lugar, active a verificação em duas etapas no WhatsApp. Mesmo que alguém tente registar a sua conta noutro telemóvel, o PIN adicional dificulta a tomada de controlo. Esta opção está nas definições da conta e demora menos de um minuto a configurar.

Em segundo lugar, faça uma revisão pontual do que já foi descarregado: no Android, ficheiros recebidos podem ficar guardados em pastas de multimédia. Limpar conteúdos antigos e desnecessários reduz a exposição e evita que ficheiros desconhecidos permaneçam no armazenamento por longos períodos.

O que “vector de ataque” significa na prática

A expressão soa técnica, mas a ideia é simples: um ficheiro pode ser o primeiro passo de uma cadeia de exploração. Uma imagem manipulada pode explorar falhas no processamento de imagens; um vídeo pode atacar um decoder específico; um documento pode provocar falhas na app e, em cenários extremos, abrir caminho à execução de código.

Nem todos os ficheiros maliciosos causam imediatamente danos visíveis. No pior cenário, um atacante pode aceder a dados, espiar comunicações ou descarregar malware adicional. Quanto menos ficheiros desconhecidos entrarem no dispositivo sem controlo, menor é a probabilidade de isso acontecer.

Porque é que estas duas alterações têm um impacto tão grande

Muitos conselhos de segurança são vagos ou exigem passos complicados. Aqui, as duas mudanças são rápidas e têm efeitos concretos e cumulativos:

  • reduz-se a entrada em grupos indesejados
  • menos desconhecidos vêem o seu número e a sua fotografia
  • ficheiros potencialmente perigosos deixam de cair no armazenamento sem aviso
  • passa a ser o utilizador a decidir quando um ficheiro entra no dispositivo

Em especial em Android, onde é comum instalar muitas aplicações e conceder permissões com facilidade, estas medidas funcionam como um “cinto de segurança” adicional. Para quem usa o WhatsApp diariamente, são ajustes pequenos que oferecem uma protecção muito maior do que aparentam à primeira vista.

Comentários

Ainda não há comentários. Seja o primeiro!

Deixar um comentário