phoneital.pt

Grupos de WhatsApp podem ser arriscados: mude já esta definição padrão.

Pessoa a usar telemóvel com app de mensagens aberta, ao lado de computador portátil, auriculares e caneca numa mesa.

De repente entrou num novo grupo de WhatsApp - e o seu telemóvel pode tornar-se uma porta de entrada para atacantes, mesmo sem tocar em nada.

Milhões de pessoas gerem o dia a dia através de grupos no WhatsApp. O que muita gente ignora é que um interruptor discreto, activado por defeito na aplicação, pode ajudar criminosos a fazer chegar ficheiros maliciosos a smartphones Android. Investigadores de segurança deixam um aviso claro e recomendam alterar duas definições essenciais.

Porque é que os grupos do WhatsApp podem ser um problema de segurança

Os grupos do WhatsApp são úteis: família, amigos, colegas, creche, clube desportivo - quase toda a gente está em vários chats ao mesmo tempo. Partilham-se fotografias, documentos, mensagens de voz e ligações, muitas vezes a um ritmo constante.

O problema é que esta mesma conveniência abre espaço a abusos. É comum sermos colocados em conversas onde nunca aceitámos entrar de forma consciente. Um conhecido distante, um contacto antigo ou alguém que tenha o seu número pode adicioná-lo sem grandes obstáculos. De um momento para o outro, desconhecidos podem ver o seu número de telefone, a fotografia de perfil e, muitas vezes, também o estado.

Isto não é apenas uma questão de privacidade: pode traduzir-se em spam, publicidade indesejada, tentativas de burla e ataques direccionados. Investigadores do Google Project Zero e a empresa de cibersegurança Malwarebytes demonstraram agora como os grupos podem ser explorados numa ofensiva particularmente delicada.

Descoberta dos investigadores: ataques sem clique no WhatsApp (Android)

Segundo os especialistas, para atacar uma pessoa-alvo basta, antes de mais, ter o número de telefone. Com esse número, um atacante consegue criar um novo grupo e adicionar a vítima - mesmo que a relação entre ambos seja mínima.

Em grupos acabados de criar, é possível enviar ficheiros manipulados que, em dispositivos Android, podem ser descarregados automaticamente - sem qualquer acção do utilizador.

A sequência típica do cenário é esta:

  • Cria-se um novo grupo
  • A vítima é adicionada sem ser previamente questionada
  • É enviado para o chat um ficheiro preparado (imagem, vídeo ou documento)
  • O ficheiro acaba guardado automaticamente no armazenamento do smartphone

Daqui resulta um caminho de ataque plausível: mesmo que a vítima nem abra o WhatsApp de propósito, o ficheiro pode já estar no equipamento. Dependendo de vulnerabilidades no sistema operativo ou na própria aplicação, esse descarregamento pode servir como ponto de partida para ataques posteriores.

O que está por trás do download automático

Em muitos smartphones Android, o WhatsApp vem configurado para descarregar automaticamente multimédia das conversas: imagens, áudio, vídeos e, em certos casos, também documentos. A intenção é prática (e pode até poupar dados, se o utilizador limitar a descarga a Wi‑Fi), mas retira decisões ao utilizador.

O download automático é cómodo - mas transfere o controlo de “eu decido” para “a aplicação decide”.

Em conversas individuais isso pode passar despercebido. Em grupos com muitos participantes desconhecidos, o contexto muda: não é claro quem está por trás de cada perfil nem quais são as intenções de quem envia um ficheiro inesperado.

Os investigadores indicam que o risco afecta sobretudo o WhatsApp em Android, precisamente por se apoiar em descarregamentos automáticos de multimédia em grupos, que ficam em segundo plano como potencial vetor de ataque.

O WhatsApp corrigiu, mas o utilizador tem de agir

De acordo com a Malwarebytes, o WhatsApp disponibilizou uma correcção. Quem actualiza a aplicação com regularidade beneficia dessa melhoria e de outras camadas de protecção.

Ainda assim, há um detalhe importante: as actualizações raramente alteram as definições já escolhidas (ou mantidas) pelo utilizador. Ou seja, quem tinha permissões e opções mais permissivas, tende a continuar com elas. Por isso, os investigadores recomendam duas mudanças concretas nas definições.

Passo 1: quem pode adicioná-lo a grupos do WhatsApp?

O primeiro passo é controlar quem pode, sequer, colocá-lo em grupos. Em Android e iOS, esta opção está nas definições de privacidade do WhatsApp.

Como alterar as definições de grupos

  • Abrir o WhatsApp
  • No Android: tocar nos três pontos no canto superior direito
    No iOS: tocar em Definições (canto inferior direito)
  • Escolher Privacidade
  • Tocar em Grupos
  • Em vez de Todos, seleccionar Os meus contactos
  • Para perfis mais sensíveis: escolher Os meus contactos excepto… e excluir contactos de maior risco

Manter “Todos” activo é deixar a porta aberta: desconhecidos conseguem levá-lo para grupos - e, com isso, aceder ao seu número e à sua fotografia de perfil.

Isto é especialmente relevante para pessoas com exposição pública (por exemplo, jornalistas), colaboradores com telemóvel de empresa ou quem divulga o número por motivos profissionais. Quanto menor for o grupo de pessoas com permissão para o adicionar, menor tende a ser o risco.

Passo 2: desligar os downloads automáticos de multimédia

O segundo “botão” essencial é o download automático de fotografias, vídeos e outros ficheiros. Vale a pena rever as definições de dados e armazenamento.

Como parar os downloads automáticos no Android

  • No WhatsApp, tocar novamente nos três pontos
  • Abrir Definições
  • Ir a Armazenamento e dados
  • Em Download automático de multimédia, verificar as opções para Dados móveis, Wi‑Fi e Roaming
  • Em cada uma, desmarcar todos os tipos de ficheiro ou permitir apenas tipos muito limitados

A partir daí, quando chegar um ficheiro, o WhatsApp pede-lhe uma acção explícita para o descarregar. Só depois de tocar na imagem ou no documento é que a transferência começa - um passo intermédio simples, mas valioso para a segurança.

Sem download automático, cada ficheiro tem de ser “autorizado” por si - e isso reduz drasticamente o risco.

Afinal, qual é a dimensão do perigo?

A fragilidade descrita concentra-se em grupos recém-criados onde a multimédia é descarregada sem pedir confirmação. Profissionais de segurança sublinham que os alvos mais atractivos são pessoas e equipas que lidam com informação sensível: administração pública, empresas, saúde ou centros de investigação.

Ainda assim, utilizadores particulares também podem ser visados, sobretudo quando partilham o número com frequência (por exemplo, em plataformas de compra e venda em segunda mão), participam em associações abertas ao público ou têm presença visível nas redes sociais. Quanto mais o seu número circular, mais fácil é para um atacante obter essa peça do puzzle.

Outros riscos frequentes em grupos do WhatsApp

Para além do download automático, os grupos trazem outras superfícies de ataque muitas vezes subestimadas:

  • Abuso da fotografia de perfil: terceiros podem guardar a imagem e usá-la em perfis falsos ou em roubo de identidade.
  • Mensagens de phishing: ligações disfarçadas de passatempos, prémios ou alertas “urgentes” de sistema.
  • Engenharia social: construção de confiança ao longo do tempo para obter detalhes pessoais.
  • Divulgação de dados: capturas de ecrã saem rapidamente do contexto e circulam fora do grupo.

Manter uma postura desconfiada perante convites para grupos e olhar com sentido crítico para participantes desconhecidos reduz muito estes riscos. Um grupo com muitos perfis que não conhece não é um espaço privado - mesmo que pareça.

Dicas práticas para usar o WhatsApp com mais segurança

Além das duas definições principais, algumas regras simples ajudam no dia a dia:

  • Evitar partilhar documentos sensíveis (cartão de cidadão, contratos, dados de saúde) em grupos grandes
  • Escolher uma fotografia de perfil que não revele demasiado sobre morada, filhos ou local de trabalho
  • Não responder directamente a números desconhecidos dentro de grupos
  • Verificar ligações suspeitas abrindo manualmente no navegador (em vez de tocar de imediato)
  • Manter o WhatsApp e o sistema operativo sempre actualizados

Muitos utilizadores subestimam o valor do seu número de telefone. Combinado com nome, fotografia de perfil e histórico de conversas, pode formar um perfil pessoal útil para burlões e campanhas de fraude direccionada.

O que significa, na prática, “vetor de ataque”

A expressão parece técnica, mas a ideia é simples: um ficheiro pode ser o início de uma cadeia de manipulações. Uma imagem adulterada pode explorar uma falha no processamento de imagens; um vídeo preparado pode atacar um descodificador específico; um documento pode tentar provocar falhas na aplicação e, a partir daí, executar código indevido.

Nem todos os ficheiros maliciosos causam imediatamente danos visíveis. No pior cenário, um atacante pode aceder a dados, espiar comunicações ou descarregar malware adicional. Quanto menos ficheiros desconhecidos forem parar ao equipamento sem controlo, menor é essa possibilidade.

Porque é que estas duas definições têm um impacto tão grande

Muitos conselhos de segurança são vagos ou exigem passos complicados. Aqui, as duas alterações fazem-se em poucos minutos e combinam vários benefícios:

  • reduz-se o número de grupos indesejados
  • desconhecidos vêem menos vezes o seu número e a sua fotografia
  • ficheiros potencialmente perigosos deixam de ficar guardados sem consentimento
  • passa a ser o utilizador a decidir quando um ficheiro entra no dispositivo

Em especial em Android - onde é comum instalar muitas aplicações e conceder permissões com mais facilidade - ter esta camada extra de protecção é uma boa prática. Se usa o WhatsApp diariamente, vale a pena reservar alguns minutos para estas pequenas mudanças: protegem mais do que parece à primeira vista.

Reforço adicional (recomendado): permissões e verificação em duas etapas

Para complementar, confirme também nas definições do Android se o WhatsApp tem apenas as permissões estritamente necessárias (por exemplo, acesso a ficheiros/armazenamento conforme o seu uso real). E, no próprio WhatsApp, activar a Verificação em duas etapas ajuda a proteger a conta caso alguém tente registar o seu número noutro equipamento.

Estas medidas não substituem o controlo de grupos e o bloqueio de downloads automáticos, mas tornam o conjunto de protecções mais robusto - especialmente para quem usa o WhatsApp como ferramenta de trabalho.

Comentários

Ainda não há comentários. Seja o primeiro!

Deixar um comentário