farmacia-tapada-das-merces.pt

Grupos do WhatsApp e privacidade: o aviso do Google Project Zero e da Malwarebytes

Pessoa segura telemóvel a usar app de segurança com computador portátil e chá na mesa numa cozinha iluminada.

Milhões de pessoas em Portugal e por toda a Europa usam, todos os dias, grupos do WhatsApp para falar com a família, combinar coisas com amigos, coordenar equipas no trabalho ou organizar actividades em associações. O que muita gente não percebe é que uma definição automática da aplicação pode facilitar a vida a criminosos. Investigadores do Google Project Zero e da empresa de segurança Malwarebytes demonstraram como atacantes conseguem tirar partido desta fraqueza ao criar grupos novos. A parte positiva: com poucos toques é possível reduzir bastante o risco.

Porque os grupos do WhatsApp podem pôr a sua privacidade em risco

É uma situação frequente: de repente aparece um grupo novo na lista de conversas e alguém o adicionou sem pedir autorização. Não concordou, não conhece parte dos participantes e, ainda assim, o seu número fica visível para toda a gente no grupo.

Este tipo de grupo surge, por exemplo, para:

  • conversas de família onde se partilham fotos de férias e das crianças
  • grupos de amigos para planear festas ou viagens
  • grupos de trabalho ou de projecto no escritório
  • chats de vizinhança, da creche/jardim de infância ou de associações
  • grupos informativos sobre notícias locais ou hobbies

O que parece inofensivo tem um lado delicado: em grupos com desconhecidos, pessoas que não conhece passam a ver o seu número de telemóvel. Dependendo das suas definições, também podem ter acesso à sua fotografia de perfil, ao seu estado e a eventuais informações do perfil. Isto pode abrir a porta a:

  • spam e publicidade indesejada via WhatsApp ou SMS
  • mensagens de phishing que tentam roubar palavras-passe ou códigos (TAN/OTP)
  • venda do seu número a intermediários de dados pouco fiáveis
  • ataques de engenharia social que exploram detalhes do seu contexto e contactos

Uma única entrada num grupo com as pessoas erradas pode fazer com que o seu número e o seu perfil acabem, de repente, no sítio errado.

Como os atacantes exploram grupos novos do WhatsApp

O cenário descrito pelo Google Project Zero e pela Malwarebytes é, na prática, desconfortavelmente simples: ao atacante basta ter um único contacto da pessoa-alvo. A partir desse contacto - ou apenas com o número já conhecido - é possível criar um novo grupo e colocar lá a vítima.

Depois, nesse grupo acabado de criar, o atacante envia um ficheiro específico, como uma imagem preparada, um vídeo ou outro conteúdo multimédia. É aqui que entra uma definição perigosa em dispositivos Android: em muitos casos, os ficheiros recebidos em grupos são descarregados automaticamente, sem que ninguém tenha de tocar no botão “Transferir”.

Nos testes, esse descarregamento automático funcionou como porta de entrada. Um ficheiro multimédia manipulado podia servir, em segundo plano, como veículo para um ataque. Os investigadores referem uma abordagem “relativamente fácil de reproduzir” assim que exista uma lista de números a atacar.

O risco é especialmente relevante para quem lida com informação sensível - por exemplo, em empresas, organismos públicos ou na área da saúde. Ainda assim, a técnica pode afectar qualquer pessoa que mantenha as definições padrão.

O problema central: uma definição do WhatsApp

A boa notícia é que não se trata de uma “super falha” que, sem qualquer intervenção, toma controlo total do telemóvel. O ponto crítico é uma configuração de fábrica que pode ser ajustada pelo próprio utilizador.

Na prática, há dois aspectos a rever no WhatsApp:

  • Quem pode adicioná-lo a grupos sem pedir autorização?
  • Deve o WhatsApp descarregar automaticamente conteúdos multimédia para o telemóvel?

Por defeito, o WhatsApp permite mais do que muita gente gostaria. Quem instalou a aplicação, a configurou uma vez e nunca mais voltou às definições, tende a ficar com opções menos seguras activas.

Ao mudar as opções certas, reduz-se uma grande parte da superfície de ataque - sem perder conveniência no dia a dia.

Passo 1: controlar quem o pode adicionar a grupos

A primeira camada de protecção passa por limitar convites e adições a grupos. Eis o que deve configurar no seu smartphone.

Em Android e iPhone

Abra o WhatsApp e siga este caminho:

  • Definições (ícone da engrenagem)
  • Privacidade
  • Grupos

Normalmente, encontrará três opções:

Opção Significado Recomendação
Todos Qualquer utilizador pode adicioná-lo directamente a grupos. não recomendado
Os meus contactos Só pessoas do seu livro de endereços o podem adicionar. boa definição base
Os meus contactos excepto… Permite excluir contactos específicos, por exemplo quem cria grupos constantemente. para controlo mais fino

Para a maioria das pessoas, “Os meus contactos” é a escolha mais sensata. Se quiser ser ainda mais cauteloso, use “Os meus contactos excepto…” para bloquear números que insistem em criar grupos novos.

Passo 2: desactivar o descarregamento automático de multimédia

A segunda opção está directamente ligada à fragilidade descrita pelos investigadores: o descarregamento automático de fotos, vídeos e outros ficheiros.

Como alterar a definição no Android

No WhatsApp para Android, faça o seguinte:

  • Abra Definições.
  • Toque em Armazenamento e dados.
  • Procure a secção Descarregamento automático de multimédia (ou nome semelhante, conforme a versão).
  • Aí, pode definir separadamente para:
    • Dados móveis
    • Wi‑Fi
    • Itinerância (roaming)

Em todas as três opções, desmarque Imagens, Áudio, Vídeos e Documentos. Assim, nenhum ficheiro é descarregado sem confirmação explícita.

Também faz sentido no iPhone

No iPhone existe uma área equivalente. Vale a pena limitar bastante - ou desligar por completo - o descarregamento automático. Além de ganhar controlo, também poupa dados móveis e espaço de armazenamento.

Compromisso ideal: permitir o descarregamento automático apenas em conversas individuais com contactos de confiança e, em grupos, confirmar sempre manualmente.

Actualizações obrigatórias: porque a versão mais recente do WhatsApp é crucial

Segundo a Malwarebytes e o Google Project Zero, o WhatsApp disponibilizou uma actualização com uma correcção para a falha descrita. Ainda assim, há um ponto que não muda: uma correcção só protege quem a instala.

Por isso, confirme com regularidade na App Store ou na Play Store se existe uma actualização do WhatsApp. Em muitos equipamentos é possível activar actualizações automáticas, para que as correcções de segurança sejam instaladas sem intervenção.

Quem trabalha com informação confidencial deve instalar actualizações com rapidez - seja do WhatsApp, do navegador ou de outras aplicações.

Como identificar grupos suspeitos e o que fazer

Além das definições, o bom senso continua a ser essencial. Alguns sinais de alerta que justificam atenção:

  • Não conhece ninguém no grupo, ou conhece apenas uma pessoa de forma distante.
  • Surgem imediatamente links, ficheiros ZIP ou pedidos para instalar aplicações desconhecidas.
  • As mensagens tentam pressionar (“urgente”, “clique já”, “senão perde a conta”).
  • Muitos participantes usam fotografias genéricas ou números de países diferentes.

Nestas situações:

  • Não abra ficheiros que não estava à espera de receber.
  • Não toque em links com aspecto estranho ou texto mal escrito/mal traduzido.
  • Saia do grupo se a situação lhe inspirar desconfiança.
  • Denuncie o administrador do grupo ou números específicos quando o conteúdo for claramente fraudulento.

O que significa “vector de ataque”

Nos relatórios de segurança, é comum surgir o termo “vector de ataque”. Em termos simples, trata-se do caminho que um atacante usa para comprometer um sistema. Neste caso específico do WhatsApp, o vector foi: grupo novo + ficheiro multimédia descarregado automaticamente.

Estes vectores vão mudando. Antes eram sobretudo anexos de e-mail, depois documentos de Office; hoje incluem aplicações, serviços de mensagens e, em alguns casos, até imagens ou vídeos. Quando se percebe que quase toda a funcionalidade de conveniência pode trazer riscos, fica mais fácil configurar os serviços de forma consciente.

Porque abdicar de algum conforto aumenta muito a segurança

Convites abertos para grupos e descarregamentos automáticos tornam tudo mais cómodo: não é preciso confirmar entradas, nem descarregar manualmente cada foto. É precisamente esse automatismo que os atacantes tentam explorar - quando ninguém precisa de confirmar, também há menos espaço para desconfiar.

Ao remover duas ou três selecções nas definições, recupera-se controlo. Os ficheiros deixam de aparecer no armazenamento sem autorização. Os grupos deixam de surgir do nada. E, mesmo que exista uma vulnerabilidade ainda desconhecida, o caminho para a explorar torna-se mais difícil.

No fundo, é uma escolha simples: investir alguns minutos a ajustar o WhatsApp ou aceitar o risco de desconhecidos chegarem, através de uma função discreta de grupos, a mais dados do que gostaria.

Comentários

Ainda não há comentários. Seja o primeiro!

Deixar um comentário