Helder Martins

Grupos WhatsApp: Este interruptor automático facilita ataques de hackers.

Pessoa a usar smartphone com aplicação aberta, ao lado de portátil e caneca numa mesa de madeira clara.

A maioria das pessoas usa o WhatsApp de forma automática: escreve mensagens, envia fotografias, áudios e emojis sem pensar duas vezes. Só que, por trás do ecrã, existem definições que ficam activas por padrão e que quase ninguém revê. Foi precisamente aí que especialistas em segurança - incluindo investigadores do Google Project Zero e da empresa Malwarebytes - identificaram um cenário problemático que podia expor utilizadores, sobretudo quem usa Android e acaba em grupos sem grande controlo.

O que está por trás do novo aviso do WhatsApp

Seja no chat da família, no grupo da equipa de futebol ou nas conversas do trabalho, é difícil encontrar alguém que use o WhatsApp sem grupos. E, em muitos casos, a entrada num grupo acontece sem grande percepção: alguém cria o grupo, escolhe um nome e adiciona números. De um momento para o outro, o utilizador passa a estar numa conversa com desconhecidos - e o seu número de telemóvel fica visível para todos os participantes.

E o risco não se resume ao número. Dependendo das definições, também podem ficar acessíveis elementos como a fotografia de perfil, o estado e sinais de actividade. Este “primeiro contacto” é frequentemente explorado por burlões para iniciar conversas, recolher informação, induzir confiança e, mais tarde, tentar levar a vítima a clicar em ligações maliciosas ou a partilhar dados.

Como um ataque através de grupos do WhatsApp podia acontecer no Android

Os investigadores do Google Project Zero e da Malwarebytes demonstraram que, sob certas condições, um atacante podia abusar de uma nova conversa de grupo para tentar “empurrar” ficheiros perigosos para o dispositivo - sem depender necessariamente de um toque deliberado do utilizador.

O ponto crítico era simples: conteúdos multimédia de grupos recém-criados podiam ser descarregados automaticamente em dispositivos Android, porque uma definição padrão permitia esse comportamento.

Na prática, o atacante precisava de apenas um dado inicial: o número de telemóvel da pessoa-alvo. Em teoria, bastava criar um grupo e adicionar esse número. A seguir, dentro desse grupo, podia enviar um ficheiro preparado - uma fotografia, um vídeo ou outro tipo de multimédia.

A vulnerabilidade no WhatsApp para Android permitia que, em certos cenários, esse conteúdo fosse descarregado automaticamente, transformando-se num possível vector de ataque. Ou seja: o plano não dependia de a vítima iniciar manualmente um download nem de clicar por curiosidade num ficheiro. A combinação entre o mecanismo de grupos e a função de download automático de multimédia abria uma porta de entrada.

O problema afectava sobretudo utilizadores Android que mantinham activo o download automático de multimédia em chats de grupo.

Definições de privacidade do WhatsApp para Android: o “interruptor” que agrava o risco

Duas opções, muito comuns nas configurações de fábrica, criam um cenário especialmente favorável para atacantes:

  • Quem pode adicionar-te a grupos sem pedir?
  • Se a multimédia dos chats deve ser descarregada automaticamente para o dispositivo

Muita gente mantém a permissão de grupos num modo demasiado permissivo, permitindo que praticamente qualquer pessoa com o número consiga iniciar um convite. Ao mesmo tempo, é frequente o download automático de fotografias, vídeos e documentos estar ligado nos grupos.

Juntando as duas coisas, o caminho fica demasiado fácil: criar grupo → adicionar a vítima → enviar ficheiro malicioso → confiar que o telemóvel trata do resto.

Como tornar mais restritiva a permissão para entrares em grupos

O WhatsApp permite definir com bastante precisão quem te pode colocar em grupos. Em Android e iPhone, o percurso é muito semelhante:

  1. Abrir o WhatsApp.
  2. Ir a Definições.
  3. Entrar em Privacidade.
  4. Seleccionar Grupos.

Normalmente, encontras opções como estas:

Opção O que significa
Todos Qualquer pessoa que conheça o teu número pode adicionar-te directamente a um grupo.
Os meus contactos Só pessoas guardadas no teu livro de contactos te podem adicionar.
Os meus contactos excepto… Permite excluir contactos específicos de forma selectiva.

Para aumentares a segurança, compensa trocar de Todos para Os meus contactos e, se necessário, usar Os meus contactos excepto… para bloquear números com os quais não queres qualquer interacção. Assim evitas que quase desconhecidos - ou contactos antigos sem contexto - te coloquem subitamente em conversas de grupo.

Desactivar o download automático de multimédia em grupos

A segunda alavanca importante está nas opções de Armazenamento e dados. É aí que decides se fotografias, vídeos, documentos e mensagens de voz ficam guardados automaticamente no telemóvel, consoante o tipo de ligação.

No Android, o caminho típico é:

  1. Abrir Definições no WhatsApp.
  2. Entrar em Armazenamento e dados.
  3. Em Download automático de multimédia, rever as opções para Dados móveis, Wi‑Fi e Roaming.

O ideal é remover as selecções (ou restringi-las ao máximo) sobretudo no contexto de grupos, para que nenhum ficheiro seja guardado sem uma decisão consciente. Além de reduzir risco, esta alteração também ajuda a poupar dados e espaço, já que ficheiros grandes deixam de cair no armazenamento sem aviso.

Regra prática: nenhum ficheiro deve chegar ao teu telemóvel sem, pelo menos, uma confirmação intencional da tua parte.

O WhatsApp lançou uma actualização - mas ainda assim deves agir

Segundo a informação divulgada, o fornecedor do serviço disponibilizou um patch. Em versões actuais da aplicação, a falha originalmente identificada terá sido corrigida.

Ainda assim, as definições descritas continuam a ser críticas. Mesmo sem uma vulnerabilidade específica, permissões abertas para grupos e downloads automáticos continuam a ser atractivos para esquemas de burla que exploram novas técnicas. Uma actualização não substitui uma configuração prudente.

Três acções que valem a pena manter como rotina:

  • Actualizar o WhatsApp com regularidade via Play Store ou App Store.
  • Limitar a permissão de grupos a contactos de confiança.
  • Desactivar ou restringir fortemente o download automático de multimédia.

Que dados ficas a expor quando entras em grupos do WhatsApp

É comum subestimar o que um simples número de telemóvel permite inferir. Em grupos, podem tornar-se visíveis (consoante as tuas definições e o contexto):

  • Fotografia de perfil que pode revelar detalhes pessoais (família, hábitos, interesses, até padrões de localização).
  • Frases de estado com pistas sobre trabalho, humor, rotinas ou planos de viagem.
  • Horários em que estás online e padrões de resposta nas conversas.

Quem procura vítimas combina estes sinais para construir tentativas de phishing mais credíveis - por exemplo, mensagens a fingir ser transportadoras, bancos ou equipas de suporte. Quanto mais informação estiver exposta, mais fácil é criar histórias plausíveis.

Exemplos práticos para aumentares a segurança no dia-a-dia

Alguns hábitos simples reduzem bastante o risco sem destruir a conveniência:

  • Avaliar grupos novos com espírito crítico: conheces mesmo as pessoas que lá estão?
  • Manter a fotografia de perfil mais neutra (por exemplo, uma paisagem em vez de imagens de crianças).
  • Evitar abrir ficheiros enviados por remetentes desconhecidos ou com comportamento estranho.
  • Sair de grupos suspeitos e usar as opções para denunciar quando fizer sentido.

Quem trabalha com informação sensível - saúde, administração pública, contabilidade, banca ou finanças - deve ser ainda mais rigoroso. Um download automático “inofensivo” pode tornar-se grave se o telemóvel também tiver acesso a aplicações, e-mails e sistemas internos.

Duas medidas extra que reforçam a tua segurança no WhatsApp

Além de controlar grupos e downloads, há duas protecções que costumam fazer diferença e que muitas pessoas adiam:

Primeiro, activa a verificação em duas etapas no WhatsApp. Isto adiciona um PIN que dificulta tentativas de sequestro de conta (por exemplo, quando alguém tenta registar o teu número noutro equipamento).

Segundo, revê as cópias de segurança. Backups automáticos podem guardar conversas e anexos em serviços na nuvem; por isso, faz sentido definir uma periodicidade adequada, limitar o que é guardado e proteger a conta associada (Google/Apple) com autenticação forte.

Porque é que as funções automáticas são tão sensíveis

A conveniência é parte do ADN dos mensageiros: tudo deve funcionar “sem esforço” e com o mínimo de confirmações. É precisamente por isso que convites abertos para grupos e downloads automáticos se tornaram tão populares - e, ao mesmo tempo, tão arriscados.

Do ponto de vista de um atacante, qualquer automatismo é uma vantagem: se não existe um momento de confirmação, também não existe um momento em que o utilizador pára para desconfiar. É por isso que especialistas recomendam rever as automatizações e permitir apenas as que são realmente indispensáveis.

Quando ajustas as definições de privacidade do WhatsApp, ganhas controlo: os grupos deixam de ser uma lotaria, o telemóvel não guarda anexos duvidosos em segundo plano e um contacto aleatório passa a ter muito menos influência sobre o teu dispositivo. É um investimento pequeno em tempo, mas com retorno grande em segurança.

Comentários

Ainda não há comentários. Seja o primeiro!

Deixar um comentário