JupiterHomes

WhatsApp: como proteger a privacidade em grupos ao desactivar o download automático

Homem a usar telemóvel com aplicação de login, com computador e chá quente numa mesa de madeira.

Milhões de pessoas em Portugal e na Alemanha conversam todos os dias em grupos do WhatsApp - com família, amigos, colegas de trabalho ou no clube/associação. O que muita gente desconhece é que uma definição automática da app pode facilitar a vida a criminosos. Investigadores do Google Project Zero e da empresa de segurança Malwarebytes demonstraram como atacantes podem explorar este ponto fraco em grupos recém-criados. A boa notícia é que dá para reduzir bastante o risco com apenas alguns toques.

Porque é que os grupos do WhatsApp são um risco para a sua privacidade

É uma situação comum: de repente aparece um novo grupo na lista de conversas e alguém o colocou lá sem pedir autorização. Não aceitou, não conhece metade dos participantes - mas, mesmo assim, o seu número fica visível para todos.

Estes grupos costumam surgir, por exemplo, para:

  • conversas de família com fotografias de férias e de crianças
  • grupos de amigos para planear festas ou viagens
  • equipas de trabalho ou projectos no escritório
  • chats de vizinhança, da creche/jardim de infância ou de associações
  • grupos informativos sobre notícias locais ou hobbies

O que parece inocente tem um lado sensível: em grupos com desconhecidos, estranhos passam a ver o seu número de telemóvel. Dependendo das suas definições, também podem ter acesso à sua fotografia de perfil, ao seu estado e a eventuais textos informativos. Isto pode abrir caminho a:

  • spam e publicidade indesejada via WhatsApp ou SMS
  • mensagens de phishing para tentar obter palavras-passe ou códigos de autenticação (TAN)
  • revenda do seu número a intermediários de dados pouco fiáveis
  • ataques de engenharia social ajustados ao seu contexto e contactos

"Basta um único grupo novo com as pessoas erradas para o seu número de telefone e o seu perfil irem parar ao sítio errado."

Como os atacantes usam novos grupos do WhatsApp para lançar o ataque

Os investigadores do Google Project Zero e da Malwarebytes descrevem um cenário assustadoramente simples: o atacante só precisa de ter um contacto da pessoa-alvo. Através desse contacto - ou apenas com o número já conhecido - consegue criar um novo grupo e adicionar a vítima.

Nesse grupo acabado de criar, o atacante pode enviar um ficheiro específico - por exemplo, uma imagem, um vídeo ou outro tipo de multimédia preparado para o efeito. Em dispositivos Android, entra aqui uma definição perigosa: os ficheiros partilhados em grupos podem ser descarregados automaticamente, sem que ninguém tenha de tocar em "Download".

Foi precisamente este descarregamento automático que, nos testes, serviu de porta de entrada. Um ficheiro multimédia manipulado de forma intencional pode ser usado em segundo plano como veículo de transporte para um ataque. Os investigadores referem um método "relativamente fácil de reproduzir" assim que exista uma lista de números a visar.

O foco recai sobretudo em pessoas que lidam com dados sensíveis - por exemplo, em empresas, organismos públicos ou no sector da saúde. Ainda assim, a técnica pode afectar qualquer pessoa que não altere as definições por defeito.

O núcleo do problema: uma definição do WhatsApp

A parte positiva é que não se trata de uma “super falha” misteriosa que, sem intervenção, toma controlo total do telemóvel. O ponto decisivo é uma configuração padrão que pode ser ajustada por si.

Em termos práticos, há duas áreas no WhatsApp a rever:

  • Quem pode adicioná-lo a grupos sem pedir autorização?
  • Os conteúdos multimédia nas conversas devem ser descarregados automaticamente para o seu telemóvel?

Por predefinição, o WhatsApp permite mais do que muita gente gostaria. Em especial quem “configurou uma vez e nunca mais mexeu” pode estar a usar opções pouco seguras.

"Ao activar os interruptores certos, reduz drasticamente a superfície de ataque - sem ter de abdicar do conforto."

Passo 1: controlar quem o pode adicionar a grupos

A primeira camada de protecção está nos convites/adicionamentos a grupos. É isto que deve configurar no seu smartphone:

Em Android e iPhone

Abra o WhatsApp e siga este caminho:

  • Definições (ícone da engrenagem)
  • Privacidade
  • Grupos

Normalmente, encontra três opções:

Opção Significado Recomendação
Qualquer pessoa Qualquer utilizador o pode adicionar directamente a grupos. não recomendado
Os meus contactos Apenas pessoas do seu livro de endereços o podem adicionar. boa base
Os meus contactos excepto… Permite excluir contactos (por exemplo, quem cria grupos constantemente). para controlo mais fino

Para a maioria das pessoas, "Os meus contactos" é a escolha mais equilibrada. Se quiser elevar a protecção, use "Os meus contactos excepto…" para bloquear números que insistem em criar novos grupos.

Passo 2: desligar o descarregamento automático de multimédia

A segunda alavanca está directamente ligada ao problema descrito pelos investigadores: o descarregamento automático de fotografias, vídeos e outros ficheiros.

Como alterar a definição em Android

No WhatsApp para Android, faça o seguinte:

  • Abra as Definições.
  • Toque em Armazenamento e dados.
  • Procure a área Descarga automática de multimédia (o nome pode variar ligeiramente conforme a versão).
  • Ajuste separadamente para:
    • Dados móveis
    • Wi‑Fi
    • Roaming

Em cada um destes três pontos, desmarque imagens, áudio, vídeos e documentos. O resultado é simples: nenhum multimédia é descarregado sem a sua confirmação explícita.

Também faz sentido no iPhone

No iPhone existe uma secção equivalente. Também aí compensa limitar ao máximo - ou mesmo desactivar - a descarga automática. Ganha controlo e, ao mesmo tempo, poupa dados móveis e espaço de armazenamento.

"Compromisso ideal: descarregar automaticamente apenas multimédia em conversas individuais com contactos de confiança e, em grupos, confirmar sempre de forma selectiva."

Obrigatório actualizar: porque a versão mais recente do WhatsApp é tão importante

Segundo a Malwarebytes e o Google Project Zero, o WhatsApp disponibilizou uma actualização com correcção para a falha descrita. Ainda assim, há um ponto que não muda: as correcções de segurança só ajudam quem as instala.

Por isso, verifique com regularidade na App Store ou na Play Store se existe uma actualização do WhatsApp. Em muitos equipamentos é possível activar actualizações automáticas - e, assim, as correcções de segurança chegam ao telemóvel sem ter de se lembrar.

Quem trabalha com informação confidencial deve instalar actualizações com rapidez, seja do WhatsApp, do navegador ou de outras apps.

Como identificar grupos suspeitos e agir da forma certa

Para além das definições, conta muito o bom senso. Alguns sinais de alerta que merecem atenção:

  • Não conhece ninguém no grupo ou só reconhece uma pessoa de forma vaga.
  • Começam logo a circular links, ficheiros ZIP ou apps desconhecidas.
  • As mensagens tentam pressionar ("urgente", "clique já", "senão perde a conta").
  • Muitos participantes usam fotografias de perfil genéricas ou números de vários países.

Nestes casos, a regra é:

  • Não abrir ficheiros que não estava à espera de receber.
  • Não tocar em links que pareçam estranhos ou venham acompanhados de textos mal escritos/traduzidos.
  • Sair do grupo se algo não lhe parecer bem.
  • Denunciar o administrador do grupo ou números específicos quando o conteúdo for claramente fraudulento.

O que significa, na prática, o termo "vector de ataque"

Em relatórios de segurança, surge muitas vezes a expressão "vector de ataque". Trata-se, simplesmente, do caminho que um atacante usa para comprometer um sistema. Neste caso, o vector foi: grupo novo + multimédia descarregado automaticamente.

Estes vectores mudam com frequência. Houve tempos em que o foco eram anexos de e-mail; depois vieram documentos do Office; hoje, são apps, serviços de mensagens e, por vezes, até imagens ou vídeos. Quem percebe que quase todas as funções de conveniência trazem algum risco tende a configurar os serviços de forma mais consciente.

Porque menos comodidade pode significar muito mais segurança

Descargas automáticas e convites abertos para grupos tornam o dia-a-dia mais simples: não tem de descarregar cada imagem manualmente, não precisa de confirmar entradas, e tudo acontece “sozinho”. É precisamente isso que os atacantes exploram: quando ninguém valida, também ninguém questiona.

Ao retirar duas ou três marcações nas definições, recupera controlo. O multimédia deixa de cair no armazenamento sem aviso. Os novos grupos deixam de aparecer do nada. E mesmo que exista uma vulnerabilidade ainda desconhecida, o caminho para a explorar fica mais difícil.

No fundo, é uma escolha muito directa: gastar alguns minutos no menu do WhatsApp - ou aceitar o risco de desconhecidos, através de uma função aparentemente inofensiva de grupos, conseguirem acesso a mais dados do que gostaria.

Comentários

Ainda não há comentários. Seja o primeiro!

Deixar um comentário