Milhões de pessoas conversam todos os dias em grupos de família, chats de equipa ou redes de vizinhança no WhatsApp. Só que esses mesmos grupos podem virar um ponto fraco quando certas configurações padrão continuam ativas. Pesquisadores de segurança alertam para uma falha que pode ser explorada por atacantes por meio de grupos recém-criados - inclusive sem que a vítima clique em nada. A parte positiva é que, com alguns ajustes simples, dá para reduzir bastante a exposição.
Como grupos aparentemente inofensivos no WhatsApp viram um risco
Quase todo mundo usa grupos para tudo: fotos de viagem, organização da escola, clube desportivo ou encontros de colegas. E, muitas vezes, a entrada num grupo acontece sem grande perceção - basta alguém ter o seu número e adicionar você. De repente, pessoas desconhecidas passam a ver o seu número de telemóvel, a sua foto de perfil e, dependendo do caso, o seu recado/status.
É exatamente esse cenário que chama a atenção de criminosos. Ao cair num grupo controlado por um atacante, você pode expor mais do que imagina:
- o seu próprio número de telemóvel
- foto do perfil e informações de status
- atividade online dentro do grupo (se escreve, lê, reage)
Além disso, existe um risco menos lembrado: em chats de grupo, certos ficheiros podem ser baixados automaticamente para o smartphone - sem toque, sem confirmação. Isso amplia a superfície para a entrada de código malicioso.
"O verdadeiro gatilho não é um hack de Hollywood, e sim um pequeno botão padrão nas configurações do WhatsApp."
O que os pesquisadores de segurança criticam no WhatsApp
Pesquisadores do Project Zero, do Google, e da empresa de segurança Malwarebytes analisaram uma vulnerabilidade específica. Segundo eles, basta o atacante ter o número do alvo e convidar essa pessoa para um grupo recém-criado. Quando a vítima já está no grupo, o atacante pode enviar um ficheiro de mídia manipulado.
O ponto mais sensível: em muitos smartphones Android, o WhatsApp faz o download automático de imagens, vídeos e outras mídias enviadas em grupos. A pessoa não precisa clicar em nada - o ficheiro vai para o armazenamento e pode servir como veículo para um ataque.
A Malwarebytes descreve a situação assim: no pior cenário, um único ficheiro adulterado num grupo criado na hora pode ser suficiente para iniciar o ataque. O problema afeta sobretudo o WhatsApp no Android. Com o download automático ligado, o trabalho do atacante fica bem mais fácil.
Por que nem todo mundo está no mesmo nível de mira
Nem toda utilizadora e nem todo utilizador tem o mesmo valor para cibercriminosos. Em geral, ganham prioridade pessoas que lidam, no trabalho ou na vida pessoal, com informações sensíveis:
- funcionários com acesso a sistemas internos de empresas
- jornalistas, ativistas, políticos
- servidores e profissionais administrativos que tratam dados de cidadãos ou clientes
- responsáveis por finanças, por exemplo, no setor de contas e faturação
Ainda assim, vale a pena proteger qualquer conta. Grupos com números desconhecidos são um ambiente perfeito para phishing, tentativas de golpe e roubo de identidade. E, quando alguém passa a ser visto como “alvo fácil”, pode acabar em mais bases de dados - e receber abordagens maliciosas com maior frequência no longo prazo.
O passo mais importante: quem pode adicionar você a grupos?
Uma das barreiras mais eficazes fica nas próprias configurações do WhatsApp. Em muitos casos, a opção padrão permite que praticamente qualquer pessoa adicione você a grupos. É possível limitar isso.
Como restringir convites para grupos
No smartphone, ajuste as permissões de convite para grupos. Os nomes podem mudar ligeiramente conforme a versão, mas o caminho costuma ser parecido:
- Abra o WhatsApp.
- Toque nos três pontos no canto superior direito e selecione Configurações.
- Entre em Privacidade.
- Vá até Grupos.
- Em vez de Todos, escolha Meus contatos.
- Opcionalmente, em Meus contatos, exceto…, exclua números específicos.
"Quem muda a opção de "Todos" para "Meus contatos" afasta em grande parte números desconhecidos de convites espontâneos para grupos."
Com isso, você diminui bastante a chance de cair em grupos suspeitos, nos quais atacantes testam malware ou mensagens de fraude.
Segundo reforço: desativar o download automático de mídia
O centro da falha descrita está no download automático de mídia em chats de grupo. A função é prática, mas pode abrir portas.
Onde encontrar o auto-download no WhatsApp
Em smartphones Android, dá para desativar isso no próprio WhatsApp:
- Abra o WhatsApp.
- Acesse Configurações.
- Toque em Armazenamento e dados.
- Em Download automático de mídia, verifique Dados móveis, Wi‑Fi e Roaming.
- Desmarque os tipos de mídia (Fotos, Áudio, Vídeos, Documentos) que não devem ser baixados automaticamente.
A partir daí, a app passa a perguntar se você realmente quer baixar o ficheiro. Às vezes isso adiciona um clique, mas evita downloads silenciosos em segundo plano.
| Configuração | Risco | Recomendação |
|---|---|---|
| Download automático de vídeos | Grande volume de dados, possível código malicioso | Desativar, baixar manualmente |
| Download automático de imagens | Médio; imagens podem ser exploradas | Desativar, ao menos em grupos |
| Download automático de documentos | Risco muito alto (ficheiros Office, PDFs) | Desativar rigorosamente |
Atualização obrigatória: por que usar a versão mais recente do WhatsApp faz diferença
Segundo os pesquisadores de segurança, o WhatsApp distribuiu uma correção (patch). Ou seja, a vulnerabilidade conhecida deve estar resolvida nas versões atuais. Mas quem quase não atualiza a app pode continuar exposto.
O caminho mais seguro:
- Verificar no Google Play Store ou na Apple App Store se há atualização do WhatsApp.
- Ativar atualizações automáticas, caso ainda não estejam ligadas.
- Manter o sistema operativo do smartphone atualizado com regularidade.
Muitos ataques miram deliberadamente pessoas que não instalam atualizações há meses ou anos. Nesses casos, os criminosos encontram falhas antigas para as quais já existem correções.
Como identificar grupos e ficheiros suspeitos
Configurações ajudam, mas não resolvem tudo. No dia a dia, observar grupos novos com atenção faz muita diferença. Sinais de alerta comuns:
- você não conhece o criador do grupo (ou conhece apenas de vista)
- o grupo aparece do nada, sem aviso de alguém de confiança
- o nome do grupo é genérico ou estranho ("Equipa de prémios 2024", "Ação especial", "VIP-Invest")
- logo após entrar, surgem ficheiros enviados por contactos desconhecidos
Na dúvida: entre, verifique rapidamente, não clique em nada e não abra ficheiros. Se não houver um propósito claramente legítimo, o melhor é sair e bloquear o número.
O que “Piratage” quer dizer neste contexto
Com “Piratage”, os pesquisadores não estão a falar, necessariamente, de controlo remoto total, como em filmes de espionagem. Na prática, costuma envolver passos menores - mas perigosos:
- extração de dados do dispositivo ou da lista de contactos
- instalação de mais malware
- preparação para extorsão ou tentativas de fraude
Às vezes, um único ficheiro preparado é suficiente para disparar uma sequência de ações. Por isso processos automáticos são tão delicados: eles retiram da pessoa a chance de decidir.
Rotina prática de segurança para quem usa WhatsApp
Ao ajustar alguns hábitos, dá para usar o WhatsApp com muito mais segurança sem perder conveniência. Uma rotina simples pode ser assim:
- uma vez por trimestre: rever as configurações de grupos e de download de mídia
- analisar grupos novos com postura crítica antes de responder
- se números desconhecidos enviarem ficheiros, silenciar ou bloquear em caso de dúvida
- atualizar o smartphone e as apps com regularidade
Em grupos de família ou de pais e responsáveis, vale até deixar um aviso curto. Muita gente não sabe que, na configuração padrão, crianças e adolescentes podem ser adicionados livremente a grupos de desconhecidos. Poucos minutos nas configurações podem evitar muita dor de cabeça.
Comentários
Ainda não há comentários. Seja o primeiro!
Deixar um comentário