maquiave.pt

Grupos do WhatsApp: a definição de segurança que pode expor o Android ao auto-download

Pessoa a usar smartphone para ler mensagens de uma aplicação de chat, com portátil aberto e cadeado numa mesa.

Chats de família, equipa de futebol, pais da creche, organização do escritório: os grupos do WhatsApp fazem parte do dia a dia. Ainda assim, é precisamente aí que existe um ponto fraco que investigadores de segurança da Google e de uma empresa de cibersegurança descreveram agora em detalhe. Se não alterar uma função automática específica, pode - no pior cenário - facilitar a entrada de desconhecidos no seu smartphone.

Porque é que os grupos do WhatsApp podem tornar-se um risco de segurança

É muito comum alguém acabar num grupo sem ser perguntado. Um contacto da agenda cria rapidamente um novo chat de grupo, selecciona algumas pessoas e, de repente, já faz parte. Muitas vezes só se dá conta horas depois, quando o telemóvel já está inundado de mensagens e GIFs.

À primeira vista parece inofensivo, mas pode trazer problemas. Em muitos grupos participam pessoas que não conhece. O seu número de telefone, a fotografia de perfil e o estado ficam visíveis para todos os membros. Para criminosos, esta combinação é valiosa: têm um número real, um nome real e, por vezes, pistas sobre profissão ou local de residência.

Um parâmetro padrão discreto no WhatsApp pode fazer com que ficheiros maliciosos de grupos sejam descarregados automaticamente para o telemóvel.

Investigadores do Project Zero (equipa de segurança da Google) e da empresa de segurança Malwarebytes descrevem uma técnica de ataque que explora exactamente este cenário: grupos acabados de criar, para os quais um atacante adiciona, de forma dirigida, vítimas escolhidas.

Como funciona o ataque ao WhatsApp descrito

Para avançar com a investida, o agressor precisa, antes de mais, de pelo menos um contacto da vítima. Isso é suficiente para a conseguir incluir num grupo criado de propósito. A partir daí, o atacante pode enviar para esse grupo um ficheiro especialmente preparado - por exemplo, uma imagem, um vídeo ou outro formato de multimédia.

Segundo a Malwarebytes, existiu no WhatsApp para Android uma vulnerabilidade que fazia com que esse tipo de ficheiros, em grupos novos, fosse guardado automaticamente no dispositivo e pudesse ser usado como porta de entrada. O aspecto mais traiçoeiro: a vítima não tinha de tocar em nada. Bastava o download automático.

Os especialistas sublinham que este tipo de ataque não é tecnicamente complexo quando o agressor já tem uma lista de alvos possíveis. Estão mais expostas pessoas que lidam com dados sensíveis, como em empresas, organismos públicos ou na área da saúde. Ainda assim, em teoria, qualquer equipamento Android pode ser afectado se as predefinições relevantes não tiverem sido ajustadas.

O verdadeiro ponto fraco: uma predefinição no WhatsApp

No essencial, não se trata de uma falha massiva e inevitável, mas sim do efeito combinado de três elementos:

  • Qualquer pessoa pode adicioná-lo a grupos usando o seu número.
  • Dentro dos grupos, participantes desconhecidos conseguem ver o seu número e, muitas vezes, a sua fotografia de perfil.
  • A multimédia dos chats pode ser descarregada automaticamente.

Estes automatismos tornam tudo mais cómodo - e também reduzem a fricção para ataques. Quando um sistema grava ficheiros sem pedir confirmação, uma imagem ou um vídeo falsificados podem servir de ponto de partida. O WhatsApp indica que a vulnerabilidade em si já foi corrigida com uma actualização. Ainda assim, a combinação “convite para grupo + auto-download” continua a ser, de forma geral, um risco que muitos desvalorizam.

Estas definições no WhatsApp deve verificar já

1. Quem o pode adicionar a grupos?

Para muitos utilizadores, esta opção fica, por defeito, na configuração mais permissiva. Isso permite que desconhecidos, através de contactos em comum, o incluam em grupos.

Para limitar (Android e iOS; os nomes podem variar ligeiramente conforme a versão):

  • Abrir o WhatsApp.
  • Ir a Definições.
  • Seleccionar Privacidade.
  • Tocar em Grupos.
  • Em vez da opção muito aberta Todos, escolher Os meus contactos.
  • Opcional: em Os meus contactos, excepto…, excluir números específicos que não pretende que o possam adicionar espontaneamente a grupos.

Ao tornar as definições de grupos mais restritivas, evita que números completamente desconhecidos passem a ter acesso à sua fotografia de perfil, ao estado e ao número de telemóvel.

2. Desactivar o download automático de multimédia

O segundo passo importante é rever o conhecido auto-download. É prático, ocupa armazenamento e pode ser arriscado quando entram ficheiros manipulados.

Para ter mais controlo no WhatsApp:

  • No WhatsApp, abrir as Definições.
  • Tocar em Armazenamento e dados.
  • Na secção Download automático de multimédia, rever as opções para dados móveis, Wi-Fi e roaming.
  • Em cada categoria, permitir apenas o estritamente necessário - o ideal é Nunca ou uma selecção muito limitada.
  • Em alternativa: permitir apenas imagens e descarregar vídeos e documentos manualmente.

Assim, evita que ficheiros cheguem ao telemóvel de forma invisível em segundo plano. Tudo o que iniciar conscientemente com um toque é mais fácil de avaliar com espírito crítico.

Não se esqueça da actualização: porque é que a versão mais recente é tão importante

O WhatsApp afirma que já disponibilizou uma correcção para a vulnerabilidade mencionada. Quem mantém a aplicação actualizada, através da App Store ou da Play Store, recebe estas melhorias de segurança. Quem adia actualizações durante meses anda, na prática, como se tivesse uma porta de casa cuja fechadura já foi considerada insegura.

Passo Vantagem
Restringir permissões de grupos Menos desconhecidos nos seus chats, menor exposição do seu número
Desactivar auto-download Ficheiros maliciosos não chegam ao dispositivo sem autorização
Manter a app actualizada Vulnerabilidades conhecidas são corrigidas e novas protecções ficam activas

O que os atacantes podem fazer com o seu número e com ficheiros

Alguns utilizadores encolhem os ombros: “E então, fica lá a minha número para meia dúzia de pessoas.” Isso é uma visão demasiado curta. Ter o número de telemóvel visível num grupo pode desencadear várias consequências:

  • SMS de phishing ou mensagens no WhatsApp dirigidas (supostamente de transportadoras, bancos, entidades públicas)
  • chamadas com falsos passatempos ou alegadas linhas de apoio técnico
  • criação de perfil (profiling): ligação entre número, nome, fotografia e indicações profissionais presentes no estado ou noutras redes
  • tentativas de obter mais informação através de engenharia social

A isto junta-se o risco de multimédia infectada. Um ficheiro adulterado pode, por exemplo, tentar espiar dados adicionais, integrar o dispositivo numa botnet ou descarregar mais malware. O sucesso depende de muitos pormenores técnicos, mas a regra é simples: quanto menos oportunidades existirem para o atacante começar, melhor.

Como usar grupos de forma mais segura

A boa notícia é que não precisa de abandonar os grupos do WhatsApp para aumentar a protecção. Algumas regras simples ajudam bastante:

  • Sair de grupos onde não conhece ninguém ou que sejam claramente spam.
  • Perante convites inesperados, perguntar: quem criou o grupo e qual é o objectivo?
  • Não abrir links suspeitos - mesmo quando parecem vir de pessoas conhecidas.
  • Nas definições de privacidade, limitar a visibilidade da fotografia de perfil para todos ou apenas para contactos.
  • Em grupos profissionais, ter cautela redobrada com documentos sensíveis.

Porque é que as funções automáticas tantas vezes se tornam um problema

Muitos serviços apostam na conveniência: tudo deve “funcionar” sem perguntas. Downloads automáticos, backups automáticos, sincronização automática - útil, mas com riscos. As pessoas habituam-se a não questionar o que acontece. É precisamente esta rotina que os atacantes exploram. Quanto mais coisas acontecem em segundo plano, menor tende a ser a atenção.

Se dedicar alguns minutos a ajustar as predefinições, aumenta de forma perceptível a segurança sem abdicar do conforto. Continuará a poder descarregar multimédia e a usar grupos - apenas com mais um clique e com um risco consideravelmente menor.

No final, o essencial é que seja você a decidir o que entra no seu smartphone e com quem partilha o seu número. O WhatsApp já disponibiliza estas opções há muito tempo - é só activá-las.

Comentários

Ainda não há comentários. Seja o primeiro!

Deixar um comentário