JupiterHomes

Entrou de repente num grupo do WhatsApp: mude estas definições no Android

Pessoa a configurar a autenticação em duas etapas no WhatsApp num smartphone, com portátil aberto ao fundo.

De repente entrou num novo grupo do WhatsApp - e o seu telemóvel pode transformar-se numa porta de entrada para atacantes, sem que tenha de tocar em nada.

Milhões de pessoas gerem a rotina através de grupos do WhatsApp. O que muita gente desconhece é que uma opção discreta, activada por defeito na aplicação, pode facilitar a vida a criminosos para fazerem chegar ficheiros maliciosos a smartphones Android. Investigadores de segurança deixaram um aviso claro e recomendam a alteração de duas definições essenciais.

Porque é que os grupos do WhatsApp podem ser um problema de segurança

Os grupos do WhatsApp são convenientes: família, amigos, colegas, escola/infantário, clube desportivo - quase toda a gente está em vários chats ao mesmo tempo. Partilham-se fotografias, documentos, mensagens de voz e ligações, muitas vezes a um ritmo constante.

Acontece que esta mesma funcionalidade também abre a porta a abusos. É frequente alguém ser colocado num chat sem ter dado um consentimento consciente. Um conhecido ocasional, um contacto antigo ou simplesmente alguém que tenha o seu número pode adicioná-lo sem grande dificuldade. De um momento para o outro, pessoas desconhecidas passam a ver o seu número de telefone, a fotografia de perfil e, muitas vezes, o seu estado.

Isto não é apenas uma questão de privacidade: pode levar a spam, publicidade indesejada, tentativas de burla e ataques direccionados. Investigadores do Google Project Zero e da empresa de segurança Malwarebytes demonstraram agora como os grupos podem ser explorados numa situação particularmente sensível.

A descoberta dos investigadores: ataques sem clique

Segundo os especialistas, para atacar uma pessoa-alvo basta, numa primeira fase, ter o número dessa pessoa guardado na lista de contactos. Com esse número é possível criar um novo grupo e adicionar a vítima - mesmo que mal se conheçam.

"Em grupos recém-criados, podem ser enviados ficheiros manipulados que, em dispositivos Android, são descarregados automaticamente - sem qualquer acção do utilizador."

É precisamente esta sequência que torna o cenário arriscado:

  • Cria-se um novo grupo
  • A vítima é adicionada sem ser consultada
  • Envia-se para o chat uma imagem, vídeo ou documento preparado
  • O ficheiro acaba descarregado automaticamente para a memória do smartphone

Daqui resulta uma via potencial de ataque: a pessoa pode nem sequer abrir o WhatsApp de propósito, mas o ficheiro já ficou armazenado no equipamento. Dependendo de uma falha no sistema ou na própria aplicação, esse descarregamento pode servir de ponto de partida para ataques adicionais.

O que está por trás do descarregamento automático

Em muitos smartphones Android, o WhatsApp vem configurado para descarregar automaticamente conteúdos multimédia dos chats: fotografias, áudio, vídeos e, em alguns casos, também documentos. A intenção é tornar tudo mais cómodo (por exemplo, ao permitir apenas em Wi‑Fi), mas isso retira decisões importantes das mãos do utilizador.

"Os downloads automáticos são cómodos - mas transferem o controlo de ‘eu decido’ para ‘a aplicação decide por mim’."

Em conversas normais, este comportamento pode passar despercebido. Já em grupos com muitos participantes desconhecidos, o contexto muda: nem sempre é claro quem está por trás de cada perfil, nem quais são as intenções de quem, de repente, envia um ficheiro.

A falha descrita pelos investigadores afecta sobretudo o WhatsApp em Android. O método depende do facto de, em grupos, os conteúdos serem descarregados sem pedido de confirmação e ficarem em segundo plano como um possível vector de ataque.

O WhatsApp reagiu - mas o utilizador continua a ter de agir

De acordo com a Malwarebytes, o responsável pelo serviço disponibilizou uma correcção (patch). Quem mantém a aplicação actualizada beneficia dessa alteração e de mecanismos adicionais de protecção.

Ainda assim, há um ponto crítico: as definições por defeito, regra geral, não são alteradas por uma actualização. Se antes tinha permissões mais “abertas”, é provável que se mantenham. Por isso, os investigadores recomendam duas medidas concretas nas definições.

Passo 1: Quem pode adicioná-lo a grupos?

O primeiro passo é recuperar o controlo sobre quem pode, afinal, colocá-lo num grupo. Tanto em Android como em iOS, a opção encontra-se nas definições de privacidade do WhatsApp.

Como alterar as definições de grupos

  • Abrir o WhatsApp
  • Tocar nos três pontos no canto superior direito (Android) ou em “Definições” no canto inferior direito (iOS)
  • Seleccionar Privacidade
  • Tocar em Grupos
  • Em vez de “Todos”, escolher Os meus contactos
  • Para perfis mais expostos: seleccionar Os meus contactos excepto… e excluir contactos de maior risco

"Quem mantém ‘Todos’ activo dá a estranhos a porta de entrada para o seu histórico de grupos - e, com isso, acesso ao seu número e à fotografia de perfil."

Em especial, pessoas com maior exposição pública - jornalistas, colaboradores com telemóveis de empresa ou quem partilha muitos contactos por motivos profissionais - devem ser mais rigorosas. Quanto menos pessoas puderem iniciar grupos consigo, menor tende a ser o risco.

Passo 2: Desactivar os downloads automáticos de multimédia

O segundo ponto-chave é desligar o descarregamento automático de fotografias, vídeos e outros ficheiros. Vale a pena consultar rapidamente as definições de dados e armazenamento.

Como parar os auto-downloads no Android

  • No WhatsApp, tocar novamente nos três pontos
  • Abrir Definições
  • Entrar em Armazenamento e dados
  • Em Multimédia com download automático, verificar as opções para dados móveis, Wi‑Fi e roaming
  • Em todos os três, desmarcar todos os tipos de multimédia ou permitir apenas formatos muito limitados

A partir daqui, quando chegar um ficheiro, o WhatsApp pede-lhe que confirme se quer descarregar. Só depois de tocar na imagem ou no documento é que o download começa - um passo intermédio relevante para a segurança.

"Sem download automático significa: cada ficheiro tem de ser ‘autorizado’ por si - e isso reduz drasticamente o risco."

Quão grande é, na prática, o perigo?

A fragilidade descrita aponta especificamente para grupos recém-criados em que o multimédia é descarregado sem confirmação. Profissionais de segurança sublinham que o foco tende a recair sobre pessoas que lidam com informação sensível: colaboradores de entidades públicas, empresas, sector da saúde ou locais de investigação.

Ainda assim, utilizadores particulares também podem ser visados - por exemplo, se partilham o número com frequência em plataformas de venda de artigos em segunda mão, se participam em associações com grande visibilidade ou se têm presença pública nas redes sociais. Quanto mais o seu número circular, mais fácil é para um atacante obter essa peça do puzzle.

Outros riscos associados a grupos do WhatsApp

Para lá do descarregamento automático, os grupos oferecem outras superfícies de ataque muitas vezes subestimadas:

  • Abuso da fotografia de perfil: desconhecidos podem guardar a sua imagem e usá-la em perfis falsos ou em roubo de identidade.
  • Mensagens de phishing: criminosos disfarçam ligações como supostos passatempos, prémios ou avisos urgentes do “sistema”.
  • Engenharia social: ao longo do tempo, um atacante pode construir confiança para extrair detalhes pessoais.
  • Partilha indevida de dados: capturas de ecrã de conversas de grupo podem circular rapidamente fora do contexto original.

Manter cepticismo perante convites para grupos e observar com atenção participantes desconhecidos reduz de forma significativa estes riscos. Um grupo com muitos perfis que não conhece não é um espaço privado - mesmo que pareça.

Dicas práticas para usar o WhatsApp com mais segurança

Além das duas definições principais, algumas regras simples ajudam no dia a dia:

  • Evitar partilhar documentos sensíveis (documentos de identificação, contratos, dados de saúde) em grupos maiores
  • Escolher uma fotografia de perfil que não revele demasiado sobre morada, crianças ou local de trabalho
  • Não contactar directamente números desconhecidos dentro de grupos
  • Verificar ligações suspeitas manualmente num browser, em vez de tocar logo nelas
  • Manter o WhatsApp e o sistema operativo actualizados

Muitos utilizadores não têm noção do valor do seu número de telefone. Juntando nome, fotografia de perfil e histórico de conversas, cria-se um perfil pessoal que burlões podem explorar de forma direccionada.

O que significa, ao certo, “vector de ataque”

O termo parece técnico, mas a ideia é simples: um ficheiro pode ser o início de uma cadeia de manipulações. Uma imagem adulterada pode explorar uma falha no processamento de imagens; um vídeo preparado pode atacar um descodificador específico; um documento pode tentar provocar uma falha na aplicação e, com isso, permitir a execução de código estranho.

Nem todos estes ficheiros causam imediatamente um colapso total do telemóvel. No pior cenário, porém, um atacante pode aceder a dados, ler mensagens ou descarregar malware adicional. Quanto menos ficheiros desconhecidos entrarem no dispositivo sem controlo, menor fica esse risco.

Porque estas duas definições fazem tanta diferença

Muitos conselhos de segurança são vagos ou exigem passos complexos. As duas alterações acima fazem-se em poucos minutos e têm vários efeitos em simultâneo:

  • reduz-se o número de grupos indesejados
  • estranhos passam a ver com menos frequência o seu número e a sua fotografia de perfil
  • ficheiros potencialmente perigosos deixam de ficar guardados sem autorização no armazenamento
  • passa a ser o utilizador a decidir quando um ficheiro entra, de facto, no equipamento

Sobretudo em Android - onde é comum instalar muitas aplicações e atribuir permissões de forma generosa - uma camada extra de protecção é útil. Para quem usa o WhatsApp diariamente, vale a pena dedicar alguns minutos a estes ajustes: protegem muito mais do que aparentam à primeira vista.

Comentários

Ainda não há comentários. Seja o primeiro!

Deixar um comentário