Helder Martins

Grupos de WhatsApp tornam-se um risco: altere já esta definição padrão.

Pessoa segura smartphone com definições da app de mensagens abertas, duas outras com chat visíveis sobre secretária de madeir

De repente, entrou numa nova conversa de grupo no WhatsApp - e o seu telemóvel pode transformar-se numa porta de entrada para atacantes, mesmo sem tocar em nada.

Milhões de pessoas gerem o dia a dia através de grupos do WhatsApp. O que muita gente ignora é que um discreto interruptor predefinido na aplicação pode facilitar o trabalho de criminosos ao fazer chegar ficheiros maliciosos a smartphones Android. Investigadores de segurança estão a alertar para o risco e recomendam alterar duas definições-chave.

Porque é que os grupos do WhatsApp podem tornar-se um problema de segurança

Os grupos do WhatsApp são extremamente práticos: família, amigos, colegas, escola/ATL dos miúdos, clube desportivo - quase toda a gente participa em vários chats ao mesmo tempo. Partilham-se fotografias, documentos, mensagens de voz e links, muitas vezes a um ritmo constante.

Só que essa mesma dinâmica cria exposição. É frequente acabar em grupos nos quais nunca aceitou entrar de forma consciente: um conhecido distante, um contacto antigo ou alguém que tenha o seu número pode adicioná-lo. De um momento para o outro, pessoas desconhecidas passam a ver o seu número de telefone, a foto de perfil e, muitas vezes, também o estado.

Isto não é apenas um tema de privacidade. Pode abrir caminho a spam, publicidade indesejada, tentativas de burla e até ataques dirigidos. Investigadores do Google Project Zero e da empresa de segurança Malwarebytes demonstraram como estas conversas podem ser exploradas num cenário particularmente delicado.

O que os investigadores descobriram: ataques “sem clique” em grupos do WhatsApp (Android)

Segundo os especialistas, quem quer atacar uma vítima precisa, antes de mais, de ter o número dela (por exemplo, guardado na lista de contactos). A partir daí, pode criar um novo grupo e adicionar a vítima - mesmo que se conheçam pouco ou quase nada.

Em grupos recém-criados, é possível enviar ficheiros manipulados que, em dispositivos Android, podem ser descarregados automaticamente - sem qualquer acção do utilizador.

A sequência que torna o cenário perigoso é esta:

  • É criado um novo grupo
  • A vítima é adicionada sem ser previamente consultada
  • Chega ao chat uma imagem, vídeo ou documento preparado (malicioso)
  • O ficheiro é guardado automaticamente no armazenamento do telemóvel

Daqui resulta um possível vetor de ataque: o utilizador pode nem sequer abrir o WhatsApp de forma activa, mas o ficheiro já ficou no dispositivo. Dependendo de vulnerabilidades no sistema ou na própria aplicação, esse descarregamento pode servir como ponto de partida para novas investidas.

O que está por trás dos downloads automáticos no WhatsApp

Por predefinição, em muitos telemóveis Android, o WhatsApp descarrega automaticamente multimédia das conversas: imagens, áudio, vídeos e, em alguns casos, também documentos. A ideia é “facilitar” (e até permitir limitar por tipo de ligação, como Wi‑Fi), mas isso retira decisões ao utilizador.

Os downloads automáticos são cómodos - porém, mudam o controlo de “eu decido” para “a aplicação decide por mim”.

Em conversas individuais isto pode passar despercebido. Num grupo com participantes desconhecidos, o contexto muda: não é claro quem está do outro lado nem que intenção tem alguém que, de repente, envia um ficheiro.

O problema evidenciado pelos investigadores afecta sobretudo o WhatsApp no Android. O ataque explora precisamente o facto de o multimédia em grupos poder ser descarregado sem confirmação e ficar em segundo plano, pronto a ser usado como vetor de ataque.

O WhatsApp corrigiu - mas ainda assim o utilizador tem de agir

De acordo com a Malwarebytes, o WhatsApp disponibilizou uma correcção (patch). Quem mantém a aplicação actualizada beneficia desse ajuste e de outras medidas de protecção.

Ainda assim, há um ponto crítico: as actualizações raramente mudam as definições antigas. Ou seja, se tinha permissões e comportamentos “generosos”, tende a continuar com eles. Por isso, os investigadores recomendam duas alterações concretas.

Passo 1: definir quem o pode adicionar a grupos do WhatsApp

O primeiro passo é limitar quem tem autorização para o colocar dentro de grupos. Em Android e iOS, esta opção está nas definições de privacidade do WhatsApp.

Como alterar as definições de grupos

  • Abrir o WhatsApp
  • Em Android, tocar nos três pontos no canto superior direito; em iOS, abrir Definições
  • Seleccionar Privacidade
  • Tocar em Grupos
  • Em vez de “Todos”, escolher “Os meus contactos”
  • Para perfis mais sensíveis, usar “Os meus contactos excepto…” e excluir contactos de risco

Manter “Todos” activo é, na prática, deixar que desconhecidos abram a porta para a sua “cronologia” de grupos - e, com isso, para o seu número e a sua foto de perfil.

Esta restrição é especialmente importante para pessoas com maior exposição: quem tem actividade pública, jornalistas, colaboradores com telemóvel empresarial ou qualquer pessoa que partilhe o número com muitos contactos por motivos profissionais. Quanto menos gente puder criar grupos consigo, menor será a superfície de ataque.

Passo 2: desligar os downloads automáticos de multimédia

O segundo “interruptor” é o download automático de fotos, vídeos e outros ficheiros. Vale a pena rever as definições de dados e armazenamento.

Como parar os downloads automáticos no WhatsApp (Android)

  • No WhatsApp, tocar novamente nos três pontos
  • Abrir Definições
  • Entrar em Armazenamento e dados
  • Em Download automático de multimédia, verificar as opções para Dados móveis, Wi‑Fi e Roaming
  • Em cada uma, desmarcar todos os tipos de multimédia ou permitir apenas tipos muito limitados

A partir daqui, quando chegar um ficheiro, o WhatsApp pede que confirme se quer descarregar. Só ao tocar na imagem ou no documento é que o download começa - um passo extra que faz diferença.

Sem download automático, cada ficheiro tem de ser activamente “autorizado” por si - e isso reduz o risco de forma significativa.

Afinal, quão grande é o risco?

A fragilidade descrita está especialmente ligada a grupos recém-criados e ao download automático de multimédia sem confirmação. Profissionais de segurança sublinham que os alvos mais interessantes tendem a ser pessoas com acesso a informação sensível: trabalhadores da administração pública, empresas, sector da saúde ou ambientes de investigação.

Ainda assim, utilizadores comuns também podem ser visados - por exemplo, se partilham o número com frequência em plataformas de venda em segunda mão, se participam em associações com listas públicas, ou se têm grande visibilidade nas redes sociais. Quanto mais o seu número “circula”, mais fácil é para um atacante obter essa peça do puzzle.

Outros riscos frequentes em grupos do WhatsApp

Para além do tema dos downloads, os grupos trazem outras superfícies de risco frequentemente subestimadas:

  • Abuso da foto de perfil: desconhecidos podem guardar a imagem e reutilizá-la em perfis falsos ou em esquemas de roubo de identidade.
  • Mensagens de phishing: links disfarçados de passatempos, prémios, ou alertas urgentes supostamente “do sistema”.
  • Engenharia social: atacantes ganham confiança ao longo do tempo para obter detalhes pessoais.
  • Divulgação de informação: capturas de ecrã podem sair rapidamente do contexto original e circular fora do grupo.

Manter cepticismo em convites para grupos e olhar de forma crítica para participantes desconhecidos reduz estes riscos. Um grupo com muitos perfis que não conhece não é um espaço privado - mesmo que pareça.

Dicas práticas para usar o WhatsApp de forma mais segura

Para além das duas definições principais, algumas rotinas simples ajudam no dia a dia:

  • Evitar partilhar documentos sensíveis (cartão de cidadão, contratos, dados de saúde) em grupos grandes
  • Escolher uma foto de perfil que não revele demasiado sobre morada, filhos ou local de trabalho
  • Não abordar directamente números desconhecidos dentro de grupos
  • Verificar links suspeitos abrindo manualmente no navegador (em vez de tocar de imediato)
  • Actualizar regularmente o WhatsApp e o sistema operativo

Muitos utilizadores subestimam o valor do seu número de telefone. Em conjunto com nome, foto e historial de conversas, é possível construir um perfil pessoal que burlões podem explorar.

Medidas extra (recomendadas) para reforçar a segurança da conta WhatsApp

Além de limitar grupos do WhatsApp e desligar downloads automáticos, há duas camadas que costumam aumentar bastante a protecção:

  • Activar a Verificação em duas etapas: cria um PIN adicional para dificultar a tomada de conta, mesmo que alguém tente registar o seu número noutro equipamento.
  • Rever backups e notificações: se usa cópias de segurança na cloud, confirme as opções disponíveis no seu dispositivo/conta e esteja atento a mensagens inesperadas de verificação ou registo.

Estas medidas não substituem as definições anteriores, mas ajudam a reduzir riscos comuns de fraude e sequestro de conta.

O que significa, na prática, “vetor de ataque”

O termo parece técnico, mas é simples: um ficheiro pode ser o início de uma cadeia de exploração. Uma imagem manipulada pode tentar abusar de uma falha no processamento de imagem; um vídeo preparado pode explorar um descodificador específico; um documento pode provocar falhas na aplicação e, em cenários extremos, levar à execução de código indevido.

Nem todos os ficheiros maliciosos causam imediatamente um “desastre” no telemóvel. No pior cenário, um atacante pode aceder a dados, espiar comunicações ou descarregar mais malware. Quanto menos ficheiros desconhecidos forem guardados automaticamente, menor é a probabilidade de algo correr mal.

Porque é que estas duas definições têm um impacto tão grande

Muitos conselhos de segurança são vagos ou exigem passos complexos. Aqui, as duas alterações ficam feitas em poucos minutos e somam vários benefícios:

  • reduz-se o número de grupos indesejados
  • desconhecidos vêem com menos frequência o seu número e a sua foto de perfil
  • ficheiros potencialmente perigosos deixam de ser guardados sem autorização
  • passa a ser você a decidir quando um ficheiro entra no seu dispositivo

Em especial em Android, onde é comum instalar muitas aplicações e conceder permissões com facilidade, um “cinto de segurança” adicional é sensato. Se usa o WhatsApp todos os dias, vale a pena investir estes minutos - a protecção ganha é maior do que parece à primeira vista.

Comentários

Ainda não há comentários. Seja o primeiro!

Deixar um comentário