petipas.pt

Grupos perigosos no WhatsApp: desative já este truque automático no seu telemóvel.

Pessoa a segurar telemóvel com mensagens WhatsApp, ao lado de portátil e cadeado em mesa de madeira.

Chat de família, equipa de futebol, pais da creche, organização do escritório: os grupos de WhatsApp já fazem parte do quotidiano. E é precisamente aí que existe uma fragilidade que investigadores de segurança da Google e de uma empresa de cibersegurança acabaram de descrever ao detalhe. Quem não altera uma determinada função automática pode, no pior dos cenários, abrir a porta do próprio telemóvel a desconhecidos.

Porque é que os grupos de WhatsApp podem tornar-se um risco de segurança

Quase toda a gente acaba num chat de grupo sem ter sido perguntada de forma ativa. Alguém da lista de contactos cria depressa um novo grupo, escolhe alguns contactos e, de repente, já estamos incluídos. Muitas vezes, só nos apercebemos horas depois, quando o telemóvel começa a encher-se de mensagens e GIFs.

À primeira vista, isso parece inofensivo, mas pode ser problemático. Em muitos grupos escrevem pessoas que não conhecemos. O número de telemóvel, a fotografia de perfil e o estado ficam visíveis para todos os participantes. E é precisamente esta combinação que interessa aos criminosos: conseguem ver um número real, um nome verdadeiro e, por vezes, até pistas sobre a profissão ou o local de residência.

«Uma definição predefinida discreta no WhatsApp pode fazer com que ficheiros nocivos de grupos acabem automaticamente no telemóvel.»

Investigadores da equipa de segurança Project Zero da Google e da empresa de segurança Malwarebytes descrevem um método de ataque que atua exatamente aqui: em grupos recém-criados, onde um atacante reúne vítimas escolhidas a dedo.

Como funciona o ataque descrito no WhatsApp

Para levar a cabo o ataque, o autor precisa primeiro de pelo menos um contacto da vítima. Isso basta para a adicionar a um grupo criado de novo. Nesse grupo, o atacante pode então enviar um ficheiro especialmente preparado - por exemplo, uma imagem, um vídeo ou outro formato multimédia.

Segundo a Malwarebytes, existia no WhatsApp para Android uma vulnerabilidade que permitia que esses ficheiros fossem guardados automaticamente no dispositivo em grupos novos e usados como ponto de entrada. O lado mais insidioso é este: o utilizador não precisava de tocar em nada. O descarregamento automático bastava.

Os investigadores de segurança sublinham que este tipo de ataque não é complicado assim que o atacante tem uma lista de alvos possíveis. As pessoas que lidam com informação sensível estão especialmente expostas, como acontece em empresas, serviços públicos ou na área da saúde. Em teoria, no entanto, qualquer dispositivo Android pode ser afetado se as definições predefinidas em causa não tiverem sido alteradas.

O verdadeiro ponto fraco: uma definição predefinida no WhatsApp

No fundo, não se trata de uma fuga de dados gigantesca, mas sim da combinação de três fatores:

  • Qualquer pessoa pode adicioná-lo a grupos usando o seu número.
  • Nos grupos, participantes desconhecidos veem o seu número e, muitas vezes, a sua fotografia de perfil.
  • Os ficheiros multimédia das conversas podem ser descarregados automaticamente.

É precisamente esta automatização que torna a vida mais prática - e os ataques mais fáceis. Quando um sistema guarda ficheiros sem pedir confirmação, qualquer imagem ou vídeo adulterado pode servir como porta de entrada. Segundo a própria WhatsApp, a falha já foi corrigida e foi distribuída uma atualização. Ainda assim, a combinação perigosa entre convite para grupo e descarregamento automático continua a ser um risco geral que muitos subestimam.

Estas definições do WhatsApp devem ser verificadas de imediato

1. Quem o pode adicionar a grupos?

Por predefinição, esta função está, em muitos utilizadores, na opção mais permissiva. Assim, pessoas totalmente desconhecidas podem acabar consigo em grupos através de contactos em comum.

Eis como limitar isso no Android e no iOS, embora as designações possam variar ligeiramente consoante a versão:

  • Abrir o WhatsApp.
  • Ir a Definições.
  • Escolher a área Privacidade.
  • Tocar em Grupos.
  • Em vez da opção amplamente aberta Todos, selecionar Os meus contactos.
  • Em alternativa, em Os meus contactos, exceto…, excluir números específicos que já não quer ver a incluí-lo em grupos de forma espontânea.

«Ao apertar as definições de grupos, evita que números desconhecidos obtenham de repente acesso à foto de perfil, ao estado e ao número de telemóvel.»

2. Desativar o descarregamento automático de multimédia

O segundo passo importante diz respeito ao famoso descarregamento automático. É cómodo, ocupa espaço de armazenamento e pode ser arriscado quando os ficheiros foram manipulados.

Para dar mais controlo ao WhatsApp:

  • No WhatsApp, abrir Definições.
  • Tocar em Armazenamento e dados.
  • Na secção Descarregamento automático de multimédia, analisar as opções para dados móveis, Wi‑Fi e itinerância.
  • Em cada categoria, permitir apenas aquilo de que realmente precisa - idealmente Nunca ou uma seleção muito limitada.
  • Em alternativa, permitir apenas imagens e descarregar vídeos e documentos manualmente.

Assim evita que ficheiros aterrem no telemóvel sem aviso e em segundo plano. Cada ficheiro que abre deliberadamente com um toque é mais fácil de avaliar com atenção.

Não se esqueça da atualização: porque a versão mais recente é tão importante

A WhatsApp indica que já foi distribuída uma correção para a vulnerabilidade em causa. Quem atualiza a aplicação com regularidade na App Store ou na Play Store recebe este tipo de correções de segurança de forma automática. Quem adia as atualizações durante meses anda como se tivesse a porta de casa com uma fechadura que já foi considerada insegura.

Passo Vantagem
Restringir permissões de grupos Menos estranhos nas suas conversas, menor visibilidade do seu número
Desativar o descarregamento automático Ficheiros nocivos não chegam sem serem solicitados ao dispositivo
Manter a aplicação atualizada Vulnerabilidades conhecidas são corrigidas, novas funções de proteção ficam ativas

O que os atacantes podem fazer com o seu número e com ficheiros

Alguns utilizadores encolhem os ombros: «E então, ficam só com o meu número.» Isso é simplificar demasiado. Um número de telemóvel visível num grupo pode trazer várias consequências:

  • mensagens de burla por SMS ou WhatsApp, supostamente enviadas por transportadoras, bancos ou entidades públicas
  • chamadas com falsos jogos de prémios ou alegadas linhas de apoio
  • criação de perfis: cruzamento entre número, nome, fotografia de perfil e dados profissionais do estado ou de outras redes
  • tentativas de, através de engenharia social, lhe extrair mais informação

A isso junta-se o risco dos ficheiros multimédia infetados. Um ficheiro adulterado pode, por exemplo, tentar espiar dados adicionais, integrar o seu dispositivo numa rede de bots ou descarregar software malicioso adicional. O grau de sucesso depende de muitos pormenores técnicos, mas quanto menos oportunidades os atacantes tiverem, melhor.

Como usar chats de grupo de forma mais segura

A boa notícia é que não precisa de abdicar dos grupos do WhatsApp para se proteger melhor. Algumas regras de comportamento simples já ajudam bastante:

  • Saia de grupos em que não conhece ninguém ou que sejam claramente spam.
  • Em convites inesperados, questione: quem criou o grupo e para que serve?
  • Não clique em links que lhe pareçam duvidosos - mesmo quando venham de pessoas aparentemente conhecidas.
  • Desative a apresentação da fotografia de perfil para todos ou apenas para os seus contactos nas definições de privacidade.
  • Seja especialmente cauteloso com documentos sensíveis em grupos de trabalho.

Porque é que as funções automáticas tantas vezes se tornam um problema

Muitos serviços apostam fortemente na comodidade: tudo deve «simplesmente funcionar», sem perguntas adicionais. Descarregamento automático, cópias de segurança automáticas, sincronização automática - prático, mas arriscado. Os utilizadores habituam-se a não questionar mais nada. É precisamente essa rotina que os atacantes aproveitam. Quanto mais coisas acontecem em segundo plano, menor é a atenção.

Quem dedica alguns minutos a ajustar as definições predefinidas aumenta de forma visível a própria segurança sem abdicar do conforto. Os ficheiros continuam a poder ser descarregados, os grupos mantêm-se utilizáveis - só que com um clique extra e um risco muito menor.

No fim, trata-se de ser você a decidir o que entra no seu telemóvel e com quem partilha o seu número. O WhatsApp já oferece os botões necessários; basta utilizá-los.

Comentários

Ainda não há comentários. Seja o primeiro!

Deixar um comentário