farmacia-tapada-das-merces.pt

Segurança no WhatsApp: como proteger os grupos e bloquear o download automático

Pessoa a usar telemóvel para mensagens, com computador portátil e chávena de café numa mesa branca.

Quem organiza família, amigos, colegas de trabalho ou o clube desportivo em grupos do WhatsApp raramente pensa em cibersegurança. Criam-se grupos, partilham-se fotografias, vídeos e mensagens de voz - tudo de forma quase automática. É precisamente essa rotina que pode ser explorada por atacantes: uma função automática do WhatsApp pode facilitar a entrada quando o alvo é uma pessoa específica.

Como os atacantes exploram grupos do WhatsApp

Investigadores da equipa de segurança Project Zero (da Google) e da empresa de cibersegurança Malwarebytes descreveram uma vulnerabilidade que afeta sobretudo chats de grupo. O método, no fundo, é surpreendentemente simples: o atacante só precisa do número de telefone da vítima.

De posse desse número, pode criar um novo grupo no WhatsApp e adicionar a pessoa. Como a maioria das pessoas não questiona muito os grupos, é fácil achar que se trata de “mais um grupo” - da família, do clube, de um hobby ou da vizinhança. E, no meio de contactos legítimos, também podem aparecer números desconhecidos sem levantar suspeitas.

"O momento perigoso surge quando, num grupo acabado de criar, entra uma fotografia, um vídeo ou um ficheiro preparado para se guardar automaticamente no smartphone."

É exatamente nisso que assenta a técnica descrita: um documento multimédia manipulado (imagem, vídeo, áudio ou ficheiro) tira partido de uma falha quando é guardado sem confirmação. Quem trabalha com dados sensíveis - por exemplo, em empresas, entidades públicas ou na área da saúde - tende a ser um alvo mais interessante para este tipo de ataque.

O verdadeiro risco: uma predefinição subestimada

O ponto crítico não é um “mega-hack” vistoso, mas sim uma definição padrão discreta do WhatsApp. Em muitos smartphones Android, a aplicação transfere automaticamente multimédia dos chats assim que existe ligação à internet.

Segundo a Malwarebytes, foi precisamente essa função que serviu de alavanca para o ataque: em grupos recém-criados, bastava enviar um conteúdo multimédia malicioso. O WhatsApp descarregava o ficheiro sem perguntar - transformando-o numa porta de entrada conveniente.

Entretanto, o WhatsApp já corrigiu a falha e disponibilizou uma atualização. Ainda assim, há um problema recorrente: muita gente não atualiza a aplicação com regularidade e mantém predefinições arriscadas. A boa notícia é que o principal reforço de segurança ativa-se em poucos passos.

Medida de proteção importante 1: quem pode adicioná-lo(a) a grupos?

A primeira questão é simples: quem é que o(a) pode colocar num grupo sem pedir autorização? Em muitos casos, a opção vem definida como “Todos”. Isso significa que qualquer pessoa com o seu número consegue criar um grupo e incluí-lo(a).

Como limitar (Android e iOS; os nomes podem variar ligeiramente):

  • Abrir o WhatsApp
  • No Android, tocar nos três pontos no canto superior direito; no iOS, tocar em “Definições”
  • Selecionar “Privacidade”
  • Entrar em “Grupos”
  • Em vez de “Todos”, escolher “Os meus contactos”
  • Se necessário, usar “Os meus contactos exceto…” para excluir números específicos

Desta forma, evita que números totalmente desconhecidos o(a) arrastem diretamente para grupos novos. Quem não estiver na sua lista de contactos passa a ter de enviar primeiro um convite (por ligação), que pode aceitar ativamente ou ignorar.

Medida de proteção importante 2: desativar o download automático de multimédia

O segundo ponto é ainda mais determinante: impedir que ficheiros multimédia sejam guardados automaticamente. O que parece cómodo pode representar, do ponto de vista de especialistas em segurança, um risco desnecessário.

Como alterar a definição:

  • No WhatsApp, tocar em “Definições”
  • Abrir “Armazenamento e dados”
  • Em “Transferência automática de multimédia”, verificar as opções para dados móveis, Wi‑Fi e roaming
  • Para fotografias, áudio, vídeos e documentos, remover idealmente todas as seleções

"Modo de segurança ideal: nenhum ficheiro é descarregado automaticamente - decide, em cada caso, o que entra no telemóvel."

Assim, bloqueia exatamente o tipo de ataque em que um ficheiro preparado é descarregado em segundo plano para o seu dispositivo e pode causar dano de forma imediata.

Qual é o risco para utilizadores comuns?

Nem todas as conversas passam automaticamente a ser uma “zona de perigo”. Na prática, os ataques descritos pelo Project Zero tendem a visar alvos selecionados, onde o esforço compensa: gestores, ativistas, jornalistas, colaboradores com acessos empresariais ou pessoas com redes de contactos valiosas.

Mesmo assim, para utilizadores do dia a dia também há consequências quando se entra em grupos sem controlo:

  • O número de telefone fica visível: qualquer pessoa no grupo consegue ver o seu número.
  • Fotografia de perfil e estado: dependendo das definições de privacidade, podem ficar acessíveis a desconhecidos.
  • Spam e burla: através de novos contactos podem chegar passatempos, falsas promessas de prémios ou mensagens de “suporte” fraudulentas.
  • Perfil de dados: a partir de grupos e contactos, podem inferir-se interesses e hábitos.

Muitos desvalorizam estes pontos por acharem que estão “só uns minutos” no grupo. No entanto, bastam alguns instantes para alguém guardar o seu número e, mais tarde, o(a) abordar por mensagem direta.

Atualização do WhatsApp: porque não deve adiar

O WhatsApp afirma que a atualização de segurança já foi distribuída. Quem atualiza a aplicação com frequência recebe automaticamente mecanismos adicionais de proteção. Ainda assim, estudos mostram repetidamente que uma parte considerável dos utilizadores continua em versões bastante desatualizadas.

Uma versão antiga do WhatsApp, combinada com transferência automática de multimédia e permissões de grupos demasiado abertas, cria um cenário ideal para atacantes. Perder alguns minutos a atualizar reduz este risco de forma significativa.

Vulnerabilidade Contramedida
Desconhecidos adicionam-no(a) a grupos Restringir permissões de grupos nas definições de privacidade
Download automático de ficheiros Desativar a transferência automática em “Armazenamento e dados”
Versão desatualizada da app Atualizar o WhatsApp na App Store ou na Play Store

O que pode acontecer se o ataque for bem-sucedido?

As consequências concretas dependem da falha explorada. Os cenários mais comuns vão do incómodo ao potencialmente devastador:

  • Espionagem de dados: acesso a contactos, SMS, ficheiros ou localização pode permitir aos atacantes construir um perfil detalhado.
  • Abuso de contas: pode tornar-se viável o acesso a apps bancárias, caixas de e-mail ou contas de redes sociais.
  • Segredos empresariais: quem guarda dados de trabalho no telemóvel pessoal pode acabar por expor a própria empresa.
  • Extorsão: fotografias privadas, históricos de chat ou documentos podem ser usados como forma de pressão.

Muitas destas consequências não aparecem de imediato, mas ao longo do tempo - sobretudo se o atacante conseguir manter acesso sem ser detetado. Para criminosos, a paciência é frequentemente mais rentável do que um golpe rápido e chamativo.

Dicas práticas para mais segurança no dia a dia do messenger

Para além das duas medidas centrais - ajustar permissões de grupos e travar a transferência automática - ajudam algumas rotinas simples:

  • Desconfiar de grupos desconhecidos: se não conseguir identificar claramente a origem de um grupo novo, saia de imediato.
  • Analisar anexos inesperados: não abrir ficheiros surpresa, especialmente quando vêm de números que não conhece.
  • Restringir dados do perfil: em “Privacidade”, definir quem pode ver a foto, o estado e o “visto pela última vez”.
  • Ativar notificações de segurança: a opção “Mostrar notificações de segurança” informa sobre alterações nas chaves de segurança.

Quem lida profissionalmente com informação sensível deve ir mais longe: usar um telemóvel separado para trabalho, com o mínimo de apps pessoais possível, e estabelecer regras claras para o manuseamento de ficheiros.

No fundo, isto não exige uma estratégia complexa e “high-tech”, mas sim um reflexo saudável de desconfiança: nem todo o grupo novo é inofensivo, nem todo o ficheiro precisa de entrar no dispositivo. Ao combinar essa atitude com algumas definições específicas, retira aos criminosos o mecanismo mais cómodo para atacar.

Comentários

Ainda não há comentários. Seja o primeiro!

Deixar um comentário