Helder Martins

Grupos WhatsApp: Esta definição padrão oculta torna o seu telemóvel vulnerável

Pessoa a usar telemóvel para enviar mensagem num grupo de chat, com óculos, cadeado e caderno numa mesa de madeira.

Os chats de grupo - família, equipa de futebol, grupo da creche, colegas de trabalho - já fazem parte da rotina de muita gente em Portugal. O problema é que estas conversas colectivas também podem transformar-se num ponto fraco de segurança quando certas opções automáticas ficam activas por defeito. Investigadores alertam, em particular, para a combinação entre convites para grupos e uma configuração padrão que, em muitos telemóveis Android, nunca chega a ser ajustada.

Como um chat de grupo no WhatsApp pode tornar-se uma falha de segurança

A cena é comum: de repente aparece um novo grupo no WhatsApp. Alguém que tem o seu número guardado criou a conversa - às vezes com boa intenção, outras nem por isso. Ao entrar, vê dezenas de mensagens, nomes que não conhece e percebe rapidamente um detalhe importante: o seu número de telefone fica visível para todos os participantes.

E o risco não se fica por aí. Em grupos com pessoas desconhecidas, é frequente começarem a circular ficheiros reencaminhados: fotografias, GIFs, notas de voz, PDFs, vídeos, supostos formulários ou “informações importantes”. É precisamente neste ponto que se encaixa o alerta dos especialistas.

Uma configuração padrão do WhatsApp pode fazer com que ficheiros vindos de grupos recém-criados sejam descarregados no telemóvel sem confirmação - e, num cenário grave, sirvam de porta de entrada para um ataque.

O que os investigadores encontraram no WhatsApp (Project Zero e Malwarebytes)

A análise foi feita por especialistas do Project Zero (Google) em conjunto com a empresa de cibersegurança Malwarebytes. Segundo a explicação dos investigadores, o método do atacante pode ser relativamente simples: basta ter pelo menos um contacto em comum com a vítima (ou controlar uma conta que a vítima tenha guardada) para a conseguir adicionar a um grupo novo.

Depois de a pessoa estar no grupo, no cenário crítico chega um único ficheiro malicioso - por exemplo, uma imagem, um vídeo ou um documento preparado de forma a explorar uma vulnerabilidade. Em dispositivos Android, o WhatsApp pode descarregar automaticamente estes ficheiros quando a opção correspondente está activa. Isto transforma o conteúdo num potencial vector de ataque sem que o utilizador tenha de tocar em nada.

Quem lida com informação sensível tende a estar mais exposto - por exemplo, profissionais de empresas, organismos públicos, media ou saúde. Ainda assim, utilizadores particulares também podem ser visados quando parecem interessantes para burlões, por exemplo por razões financeiras.

O centro do problema no WhatsApp: download automático de multimédia no Android

Não se trata, necessariamente, de um “mega ataque” generalizado, mas sim de uma definição discreta que passa despercebida. Em muitos equipamentos, o WhatsApp vem configurado para descarregar automaticamente conteúdos multimédia das conversas - incluindo de grupos em que acabou de ser colocado.

A Malwarebytes descreve o risco desta forma: um ficheiro multimédia manipulado, partilhado num grupo acabado de criar, pode ser descarregado automaticamente e servir como caminho para exploração. No Android, isto acontece quando o download automático está permitido via dados móveis e/ou Wi‑Fi.

Na prática, quem nunca alterou esta opção pode acabar com ficheiros a entrar em segundo plano, sem uma autorização consciente. No pior dos casos, isso pode facilitar a instalação de malware ou o aproveitamento de uma falha no sistema ou na aplicação.

Primeira medida de protecção: quem o pode adicionar a grupos?

Há uma alteração simples, mas muito eficaz, nas definições de privacidade do WhatsApp: limitar quem pode criar grupos consigo. O percurso pode variar ligeiramente conforme a versão, mas em geral (Android e iOS) é assim:

  • Abrir o WhatsApp
  • Ir a Definições
  • Entrar em Privacidade
  • Tocar em Grupos
  • Em vez de Todos, escolher Os meus contactos
  • Para um controlo mais apertado, usar Os meus contactos excepto… e excluir números específicos

Com isto, evita que pessoas totalmente desconhecidas - apenas com o seu número - o coloquem directamente num grupo. Além de reduzir spam e publicidade indesejada, também baixa a probabilidade de cair em grupos de origem duvidosa.

Segunda medida de protecção: desligar o download automático de multimédia

Para bloquear a técnica de ataque discutida, o passo mais importante está nas definições de dados e armazenamento. Aí, pode restringir ou desactivar por completo o download automático.

Como ajustar o download automático no WhatsApp (Android)

Normalmente, no Android faz-se assim:

  • Abrir o WhatsApp
  • Menu (canto superior direito) → Definições
  • Entrar em Armazenamento e dados
  • Em Download automático de multimédia, rever:
    • Ao usar dados móveis
    • Ao usar Wi‑Fi
    • Em roaming
  • Para aumentar a segurança, desmarcar as opções de Fotos, Áudio, Vídeos e Documentos (conforme as categorias disponíveis)

Ao desactivar o download automático, passa a decidir o que entra realmente no seu telemóvel - um ganho enorme em segurança.

No iPhone, existem opções equivalentes em Definições → Armazenamento e dados. Vale a pena confirmar: muita gente nunca mexe nestes valores e mais tarde estranha o armazenamento cheio ou ficheiros inesperados na galeria.

Porque actualizar o WhatsApp passa a ser ainda mais importante

O WhatsApp indicou que irá disponibilizar uma actualização com correcção para a vulnerabilidade identificada. Quem mantém a aplicação em dia recebe estes “patches” de segurança automaticamente. Quem adia actualizações durante meses fica, sem necessidade, mais vulnerável.

Checklist rápida:

  • Abrir a Google Play Store ou a App Store
  • Procurar por WhatsApp
  • Verificar se aparece o botão Actualizar
  • Instalar e, no fim, abrir a app novamente

Para além de taparem falhas específicas, as actualizações costumam reforçar mecanismos de protecção contra malware conhecido e técnicas de ataque recentes.

O que um atacante pode fazer com o seu número e um chat de grupo

Muitas pessoas subestimam o valor de um número de telefone. Num grupo de WhatsApp, os participantes conseguem ver o número e, muitas vezes, também a foto de perfil e o estado. Com essa informação, torna-se mais fácil criar perfis e preparar burlas direccionadas.

Exemplos frequentes:

  • Contacto directo com mensagens “urgentes” (burlas financeiras, esquemas de entregas, falsos técnicos de suporte)
  • Envio de mais ficheiros perigosos em conversa individual
  • Engenharia social, em que se constrói confiança para depois a explorar

Quando isto se junta ao download automático, o cenário piora: o atacante pode nem precisar de convencer a vítima a carregar num anexo - o ficheiro pode chegar ao dispositivo sozinho.

Boas práticas para grupos de WhatsApp mais seguros

Para além das definições, alguns hábitos simples tornam a utilização muito mais segura. Guia prático:

Situação Reacção recomendada
É adicionado a um grupo que não reconhece Verificar a lista de participantes e, se houver dúvidas, sair imediatamente
Aparecem links ou ficheiros de desconhecidos Não abrir; ignorar, bloquear ou denunciar o remetente
Alguém pede dados sensíveis (códigos, palavras-passe, dados bancários) Nunca partilhar pelo WhatsApp; confirmar a identidade por outro canal
O telemóvel começa a comportar-se de forma estranha após um download Desligar a Internet, correr uma app de segurança e, se necessário, pedir ajuda técnica

O que significam “vector de ataque” e “ficheiro malicioso”, na prática

Alguns termos técnicos podem parecer vagos. Vector de ataque é, essencialmente, o percurso usado para tentar entrar num sistema. Aqui, o caminho típico seria: número de telefone → convite para grupo → ficheiro descarregado automaticamente → exploração de uma vulnerabilidade.

Já um ficheiro malicioso pode parecer perfeitamente normal por fora - uma imagem ou um PDF, por exemplo - mas foi criado para executar código escondido quando é processado. Isto só resulta se existir uma falha no sistema operativo ou na aplicação, e é precisamente esse tipo de falhas que os investigadores tentam detectar e corrigir o mais cedo possível.

Duas camadas extra de segurança (que muita gente ignora)

Além de controlar convites e downloads, vale a pena activar a verificação em dois passos no WhatsApp (um PIN adicional). Esta medida ajuda a proteger a conta caso alguém tente registar o seu número noutro equipamento.

Outra recomendação útil é rever as cópias de segurança (Google Drive no Android e iCloud no iPhone). As cópias são convenientes, mas também podem aumentar a exposição se a conta associada (Google/Apple) não estiver bem protegida. Sempre que possível, use palavra-passe forte e autenticação de dois factores nessas contas.

Porque algum cepticismo em grupos é saudável

Os grupos parecem ambientes de confiança porque incluem amigos e conhecidos - e é essa sensação que pode ser explorada. Conteúdos maliciosos podem surgir misturados com fotos de férias, vídeos engraçados ou mensagens inocentes. Ao habituar-se a descarregar ficheiros apenas quando faz sentido (em vez de aceitar automaticamente), corta uma parte importante do risco.

Em poucos minutos, com um ajuste nas permissões de grupos, uma revisão das opções de privacidade e download e actualizações regulares, o telemóvel volta a ser o que deve: uma ferramenta prática de comunicação - não uma porta aberta para cibercriminosos.

Comentários

Ainda não há comentários. Seja o primeiro!

Deixar um comentário