Poradniki 3 godziny temu

Masz WhatsApp? Zmień ten jeden ustawiony z automatu parametr, żeby nie ryzykować ataku

Masz WhatsApp? Zmień ten jeden ustawiony z automatu parametr, żeby nie ryzykować ataku
Oceń artykuł

Eksperci od bezpieczeństwa opisali lukę, która wykorzystuje właśnie rozmowy grupowe i automatyczne pobieranie plików. Na szczęście wystarczy kilka minut w ustawieniach, by znacząco ograniczyć ryzyko.

Grupy WhatsApp: wygoda, która łatwo wymyka się spod kontroli

Większość użytkowników ma na WhatsApp przynajmniej kilka grup: rodzina, znajomi, praca, rodzice z klasy dziecka, sąsiedzi z osiedla. Do tego dochodzą grupy tematyczne, lokalne ogłoszenia czy czaty związane z pracą zdalną. Dzień potrafi uciec między kolejnymi powiadomieniami.

Problem zaczyna się w chwili, gdy ktoś dodaje nową osobę do grupy bez pytania o zgodę. Wystarczy, że ma jej numer w kontaktach. Nagle numer telefonu, zdjęcie profilowe i opis stają się widoczne dla obcych. W teorii to tylko rozmowa, w praktyce – idealne miejsce dla spamerów i oszustów.

Włączenie do nieznanej grupy to nie tylko irytujące powiadomienia. To ekspozycja numeru, zdjęcia i aktywności przed ludźmi, których nie znasz.

Na czym polega opisana luka bezpieczeństwa

Badacze z zespołu Project Zero Google oraz firmy Malwarebytes przeanalizowali sposób działania grup na WhatsApp w połączeniu z domyślnymi ustawieniami aplikacji. W ich ocenie atakujący potrzebuje zaledwie jednego elementu: numeru telefonu ofiary zapisanej w kontaktach.

Mając ten numer, może utworzyć nową grupę, dodać do niej ofiarę, a następnie wysłać do czatu plik multimedialny przygotowany z myślą o ataku – na przykład zmodyfikowany obraz, wideo czy dokument. Jeśli w aplikacji włączone jest automatyczne pobieranie mediów, taki plik zapisze się w pamięci telefonu bez żadnej reakcji ze strony użytkownika.

Malwarebytes wyjaśnia, że błąd dotyczył WhatsApp na Androidzie i polegał na tym, że złośliwy plik mógł zostać pobrany i wykorzystany jako nośnik ataku, zanim użytkownik w ogóle zdążył na niego spojrzeć. Chodzi o zapis „w tle”, uruchamiany tylko dlatego, że czat jest grupowy i świeżo utworzony.

Kluczowym elementem ryzyka jest automatyczne pobieranie multimediów w grupach – dzieje się bez klikania i bez świadomości właściciela telefonu.

Co już zrobił WhatsApp, a co nadal zależy od użytkownika

WhatsApp poinformował, że przygotował i wdrożył aktualizację łatającą zgłoszoną lukę. Użytkownicy, którzy trzymają aplikację w najnowszej wersji, korzystają z dodatkowej warstwy ochrony. To dobry krok, ale nie rozwiązuje dwóch kwestii:

  • możliwości swobodnego dodawania do grup przez praktycznie dowolny kontakt,
  • domyślnie włączonego automatycznego pobierania multimediów.

Te dwa ustawienia nadal w dużej mierze zależą od decyzji właściciela telefonu. I właśnie tu warto zareagować samodzielnie, zamiast liczyć wyłącznie na łatanie błędów przez producenta.

Ogranicz, kto może dodać cię do grupy

Najpierw warto zająć się tym, kto w ogóle ma prawo wrzucać cię do nowych czatów grupowych. W wielu kontach wciąż działa tryb, który pozwala zrobić to każdej osobie, która zna numer.

Jak zmienić ustawienia prywatności grup na WhatsApp

Kroki mogą minimalnie różnić się w zależności od wersji systemu, ale ogólny schemat wygląda tak:

  • Otwórz WhatsApp.
  • Wejdź w ustawienia (ikona trzech kropek lub koło zębate).
  • Przejdź do zakładki dotyczącej prywatności.
  • Znajdź opcję związaną z grupami.
  • Zmień domyślne ustawienie z opcji odpowiadającej wszystkim na tryb, w którym dodawać mogą tylko zapisane kontakty.
  • Jeżeli aplikacja to umożliwia, wyklucz konkretne numery, co do których masz mniejsze zaufanie.

    • Taka zmiana sprawia, że przypadkowi sprzedawcy, „magiczne inwestycje” czy podejrzane ankiety mają znacznie utrudnione zadanie. Nawet jeśli znają twój numer, nie dorzucą cię w kilka sekund do masowej grupy z nieznajomymi.

    Wyłącz automatyczne pobieranie plików w grupach

    Drugi krok dotyczy pamięci telefonu i sposobu, w jaki WhatsApp zapisuje pliki z czatów. W standardowej konfiguracji aplikacja zaciąga zdjęcia, nagrania i dokumenty od razu po ich pojawieniu się na ekranie rozmowy. To wygodne, gdy ktoś wysyła fotki z wakacji, ale fatalne z perspektywy bezpieczeństwa.

    Gdzie szukać opcji odpowiedzialnej za automatyczne pobieranie

    W Androidzie ścieżka zazwyczaj przebiega podobnie:

    • Ustawienia w WhatsApp,
    • sekcja związana z pamięcią lub transmisją danych (często nazywana „Storage and data”),
    • lista typów plików pobieranych przy różnych rodzajach połączeń,
    • osobne przełączniki dla zdjęć, wideo, dokumentów i plików audio.

    Warto rozważyć taki model:

    Rodzaj połączenia Zalecane ustawienia pobierania
    Dane komórkowe Wyłączyć wszystko lub zostawić tylko zdjęcia z ręcznym potwierdzeniem
    Wi‑Fi Zezwolić na zdjęcia, wideo tylko po weryfikacji nadawcy
    Roaming Wyłączyć wszystkie typy plików

    Niezależnie od wybranej konfiguracji jeden element zdecydowanie zwiększa bezpieczeństwo: konieczność ręcznego zatwierdzania pobierania. Wtedy nawet jeśli ktoś wyśle spreparowany plik na grupę, to nie zapisze się on bez twojej reakcji.

    Każdy plik, który najpierw widzisz, a dopiero potem świadomie pobierasz, jest mniej groźny niż ten, który ląduje w pamięci telefonu z automatu.

    Dlaczego osoby z „wrażliwymi” danymi muszą uważać jeszcze bardziej

    Eksperci podkreślają, że nie wszystkie konta są równie atrakcyjne dla cyberprzestępców. Zainteresowanie rośnie, gdy:

    • użytkownik prowadzi firmę i przez WhatsApp wymienia dokumenty lub dane klientów,
    • telefon służy jednocześnie do pracy i spraw prywatnych,
    • na urządzeniu zapisane są dostępy do wielu usług, w tym bankowych, inwestycyjnych czy narzędzi administracyjnych.

    W takich sytuacjach grupa na WhatsApp staje się bramą do dużo bardziej wrażliwych danych. Atakujący nie musi od razu przejąć pełnej kontroli nad urządzeniem. Czasem wystarczy, że uzyska dodatkowe informacje: nazwę firmy, zakres obowiązków, typ używanego oprogramowania. Z tego można złożyć kolejny, bardziej precyzyjny atak.

    Jak rozpoznać, że grupa może być ryzykowna

    Nie każdy nowy czat oznacza od razu zagrożenie, ale kilka sygnałów powinno zapalić lampkę ostrzegawczą:

    • nagle pojawia się grupa, o której nie było wcześniej mowy,
    • lista uczestników to głównie obce numery lub osoby bez zdjęć,
    • w krótkim czasie pojawia się wiele plików i linków od nieznanych nadawców,
    • nazwy plików brzmią zachęcająco lub sensacyjnie, ale nic ci nie mówią,
    • w opisie grupy widać propozycje „szybkiego zarobku”, „tajnych inwestycji” albo „superpromocji”.

    W takiej sytuacji najlepiej nie klikać w żadne odnośniki, nie pobierać plików i jak najszybciej opuścić czat. Jeśli grupa została utworzona w twoim imieniu lub podszywa się pod firmę, z którą jesteś związany, warto poinformować o tym administratora systemów w pracy lub osobę odpowiedzialną za IT.

    Aktualizacje, zdrowy rozsądek i zestaw dobrych nawyków

    Opisany błąd w WhatsApp pokazuje coś, o czym wielu użytkowników zapomina: sami producenci aplikacji także popełniają błędy. Aktualizacje są potrzebne nie tylko po to, by dodać nowe emotikony czy funkcje, lecz przede wszystkim po to, by łatać luki. Warto ustawić automatyczne aktualizacje lub przynajmniej raz na jakiś czas ręcznie sprawdzić, czy komunikator działa w najnowszej wersji.

    Drugim filarem bezpieczeństwa pozostaje zdrowy rozsądek. Nawet najlepsze mechanizmy nie zadziałają, jeśli właściciel telefonu bezrefleksyjnie wchodzi na każdą grupę, pobiera każdy plik i klika każdy link. Dlatego obok technicznych zmian w ustawieniach dobrze wypracować kilka codziennych odruchów: nie ufać nowym grupom, weryfikować nadawców, ograniczać dane widoczne w profilu i traktować komunikatory tak samo ostrożnie, jak pocztę e‑mail.

    Powiązane wpisy

    Prawdopodobnie można pominąć