Grupos de WhatsApp tornam-se um risco: mude já esta definição padrão.

Plantar de repente num novo grupo do WhatsApp pode parecer inofensivo - mas o seu telemóvel pode transformar-se numa porta de entrada para atacantes, mesmo que não toque em nada.

Milhões de pessoas coordenam o dia a dia em grupos do WhatsApp. O que muitos desconhecem é que uma opção discreta, activada por defeito em muitos casos, pode facilitar a entrada de ficheiros maliciosos em smartphones Android. Investigadores de segurança alertam para o risco e recomendam ajustar duas definições essenciais.

Porque é que os grupos do WhatsApp podem tornar-se um problema de segurança

Os grupos do WhatsApp são convenientes: família, amigos, colegas, pais da escola, clube desportivo - é comum estar em vários chats ao mesmo tempo. Circulam fotografias, documentos, mensagens de voz e ligações, muitas vezes a toda a hora.

O problema é que esta dinâmica também abre espaço a abusos. É relativamente fácil acabar num grupo sem ter dado uma autorização consciente: um conhecido distante, um contacto antigo ou alguém que tenha o seu número pode adicioná-lo. De repente, pessoas que não conhece passam a ver o seu número de telefone, a foto de perfil e, em muitos casos, o estado.

Isto não é apenas uma questão de privacidade. Pode traduzir-se em spam, publicidade indesejada, tentativas de burla e ataques mais direccionados. Investigadores do Google Project Zero e a empresa de segurança Malwarebytes demonstraram como os grupos podem ser explorados num cenário particularmente delicado.

O que os investigadores descobriram: ataques sem clique em grupos do WhatsApp no Android

Segundo os especialistas, para escolher uma vítima basta, em primeiro lugar, ter o seu número guardado (ou acessível). Com esse número, um atacante consegue criar um grupo novo e adicionar a vítima - mesmo que a relação entre ambos seja mínima.

Em grupos recém-criados, podem ser enviados ficheiros manipulados que, em determinados casos, são descarregados automaticamente em dispositivos Android - sem qualquer acção do utilizador.

A sequência típica desta abordagem é simples e perigosa:

• É criado um novo grupo
• A vítima é adicionada sem ser previamente consultada
• É enviado para o chat um ficheiro preparado (imagem, vídeo ou documento)
• O ficheiro é descarregado automaticamente e fica guardado no armazenamento do telemóvel

Daqui resulta um vector de ataque relevante: mesmo que a pessoa nem chegue a abrir o WhatsApp, o ficheiro pode já estar no dispositivo. Dependendo de vulnerabilidades no sistema ou na aplicação, esse descarregamento pode servir como ponto de partida para ataques subsequentes.

O que está por trás do “download automático” no WhatsApp

Em muitos Android, o WhatsApp vem configurado para descarregar automaticamente multimédia recebida em chats: imagens, áudio, vídeos e, por vezes, documentos. A intenção é facilitar o uso (por exemplo, descarregar apenas em Wi‑Fi para poupar dados móveis), mas isso retira controlo ao utilizador.

O download automático é cómodo - mas troca a lógica de “eu decido” por “a aplicação decide por mim”.

Em conversas individuais, o risco pode passar despercebido. Em grupos com participantes desconhecidos, o contexto muda: não sabe quem está por trás de cada perfil nem com que objectivo alguém envia subitamente um ficheiro.

Os investigadores sublinham que o cenário afecta sobretudo o WhatsApp no Android, precisamente por depender do descarregamento automático de multimédia em grupos, que fica em segundo plano como possível ponto de exploração.

O WhatsApp corrigiu - mas as suas definições podem continuar expostas

De acordo com a Malwarebytes, foi disponibilizada uma correcção (patch). Quem mantém o WhatsApp actualizado beneficia dessa melhoria e de protecções adicionais.

Ainda assim, há um detalhe importante: as predefinições tendem a manter-se após actualizações. Ou seja, se antes tinha permissões e comportamentos mais “abertos”, é provável que continuem iguais. Por isso, os investigadores recomendam duas alterações directas nas definições.

Passo 1 - Definir quem o pode adicionar a grupos do WhatsApp

A primeira medida é controlar quem pode adicioná-lo a grupos. Esta opção está nas definições de privacidade do WhatsApp (tanto em Android como em iOS).

Como alterar a definição “Grupos”

• Abra o WhatsApp
• Toque no menu (três pontos) no canto superior direito (Android) ou entre em Definições (iOS)
• Entre em Privacidade
• Toque em Grupos
• Em vez de Todos, seleccione Os meus contactos
• Para maior protecção: escolha Os meus contactos excepto… e exclua contactos de risco

Manter “Todos” activo facilita que desconhecidos o coloquem em grupos - e, com isso, tenham acesso ao seu número e à sua foto de perfil.

Esta regra é especialmente relevante para quem tem maior exposição: perfis públicos, jornalistas, colaboradores com telemóveis de empresa ou qualquer pessoa que partilhe o número com muitos terceiros por motivos profissionais. Quanto mais restrito for o acesso a convites para grupos, menor é a superfície de ataque.

Passo 2 - Desactivar o download automático de multimédia no WhatsApp (Android)

A segunda medida incide no download automático de fotos, vídeos e outros ficheiros. Vale a pena rever a área de Armazenamento e dados.

Como parar os downloads automáticos no Android

• No WhatsApp, toque novamente nos três pontos
• Abra Definições
• Entre em Armazenamento e dados
• Em Download automático de multimédia, verifique as opções para:
  • Dados móveis
  • Wi‑Fi
  • Roaming
• Em cada uma, desmarque todos os tipos de ficheiro (ou permita apenas tipos muito limitados)

A partir daqui, quando chegar um ficheiro, o WhatsApp deixa de o guardar automaticamente. O descarregamento só acontece quando tocar no conteúdo - um passo extra que pode ser decisivo para evitar problemas.

Sem download automático, cada ficheiro precisa da sua autorização explícita - e o risco desce de forma significativa.

Até que ponto o risco é real?

O cenário descrito está ligado, em particular, a grupos recém-criados e ao facto de a multimédia ser descarregada sem confirmação. Profissionais de segurança reforçam que os alvos mais valiosos tendem a ser pessoas com acesso a dados sensíveis: funcionários de organismos públicos, empresas, saúde, investigação e outras áreas críticas.

Ainda assim, utilizadores comuns também podem entrar no radar - por exemplo, se partilham frequentemente o número em plataformas de compra e venda em segunda mão, participam em associações com grande rotatividade de membros ou têm presença pública nas redes sociais. Quanto mais o seu número circular, mais fácil é para um atacante obter a “peça” que falta.

Outros riscos frequentes em grupos do WhatsApp

Mesmo deixando de lado o download automático, os grupos continuam a ter pontos frágeis muitas vezes subestimados:

• Uso indevido da foto de perfil: terceiros podem guardar a imagem e reutilizá-la em perfis falsos ou esquemas de roubo de identidade
• Mensagens de phishing: ligações disfarçadas de passatempos, entregas, alertas urgentes ou “avisos de sistema”
• Engenharia social: contacto prolongado para ganhar confiança e obter dados pessoais
• Partilha fora de contexto: capturas de ecrã e reencaminhamentos saem rapidamente do grupo original

Manter cepticismo perante convites e avaliar criticamente participantes desconhecidos reduz bastante estes riscos. Um grupo com muitos perfis que não reconhece não é um espaço privado - mesmo que pareça.

Boas práticas para usar o WhatsApp com mais segurança

Além das duas definições principais, estas rotinas ajudam no dia a dia:

• Evite partilhar documentos sensíveis (cartão de cidadão, contratos, dados de saúde) em grupos grandes
• Escolha uma foto de perfil que não revele pormenores sobre morada, crianças ou local de trabalho
• Não contacte directamente números desconhecidos dentro de grupos
• Se uma ligação parecer suspeita, valide o endereço com calma (por exemplo, abrindo manualmente no navegador) em vez de tocar de imediato
• Mantenha o WhatsApp e o Android sempre actualizados

Muitos utilizadores subestimam o valor do número de telefone. Quando é combinado com nome, foto e padrões de conversação, torna-se um perfil explorável por burlões.

O que significa, na prática, “vector de ataque”

A expressão parece técnica, mas a ideia é simples: um ficheiro pode ser o ponto inicial de uma cadeia de compromissos. Uma imagem manipulada pode explorar falhas no processamento de imagens; um vídeo preparado pode visar um descodificador específico; um documento pode tentar provocar comportamento inesperado na aplicação e abrir caminho à execução de código indevido.

Nem todos os ficheiros maliciosos causam danos imediatos. No pior cenário, um atacante pode aceder a dados, espiar comunicações ou instalar malware adicional. Quanto menos ficheiros desconhecidos entrarem no telemóvel sem controlo, menor é o risco.

Duas medidas pequenas com impacto grande

Muitos conselhos de segurança são vagos ou exigem passos complicados. Aqui, as duas alterações são rápidas e acumulam benefícios claros:

• reduz o número de grupos indesejados em que é colocado
• limita a exposição do seu número e da sua foto a desconhecidos
• impede que ficheiros potencialmente perigosos sejam guardados sem autorização
• devolve-lhe a decisão sobre quando algo entra no seu dispositivo

Em Android, onde é comum instalar muitas aplicações e aceitar permissões com facilidade, este “cinto de segurança” extra faz diferença. Se usa o WhatsApp diariamente, estes ajustes demoram poucos minutos e protegem mais do que parece à primeira vista.

Medidas adicionais (recomendadas) para reforçar a segurança da conta WhatsApp

Há ainda dois cuidados úteis, frequentemente esquecidos, que complementam as definições de grupos e de download automático:

Primeiro, active a verificação em duas etapas no WhatsApp e escolha um PIN forte. Isto reduz a probabilidade de alguém tentar assumir o controlo da sua conta por engenharia social ou por reutilização de códigos.

Segundo, reveja as cópias de segurança das conversas: confirme onde são guardadas e quem pode aceder. Uma conta bem protegida perde eficácia se as conversas ficarem expostas noutro serviço sem a mesma disciplina de segurança.