Ustawienia WhatsApp, które trzeba zmienić dziś: tak chronisz się przed włamaniem do grup
Coraz więcej ataków na WhatsApp zaczyna się od zwykłej rozmowy w grupie, do której nawet nie pamiętasz, kiedy zostałeś dodany.
Rodzinna grupa do zdjęć dzieci, ekipa ze studiów, osiedlowe ogłoszenia, grupa w pracy, sąsiedzi z klatki – u większości użytkowników WhatsApp takich czatów zebrało się już kilkanaście, a czasem kilkadziesiąt. W tym gąszczu łatwo przeoczyć, że jeden z nich może stać się furtką do ataku na telefon.
Ciche ryzyko: gdy obcy widzą twój numer i zdjęcie
W aplikacji dodanie kogoś do grupy jest banalne. Wystarczy, że napastnik ma jeden numer z listy osób, które chce zaatakować. Resztę doprasza, tworząc świeży czat grupowy. Na liście uczestników widać numery telefonów, zdjęcia profilowe i opisy – nawet jeśli część osób w ogóle nie zna się między sobą.
Badacze z zespołu Project Zero Google oraz firmy Malwarebytes zwracają uwagę, że taki scenariusz otwiera drogę do kilku problemów naraz: nękania, niechcianego marketingu, a przede wszystkim do prób ataków technicznych na telefon.
Groźne nie jest to, że należysz do wielu grup, lecz to, że ktoś może utworzyć nową i wykorzystać domyślne ustawienia WhatsApp do przemycenia złośliwego pliku.
Osoby pracujące z danymi wrażliwymi – dziennikarze, prawnicy, lekarze, pracownicy firm technologicznych – są w tej sytuacji bardziej narażone. Atakujący chętnie biorą na cel użytkowników, których urządzenia mogą kryć cenne informacje.
Luka w WhatsApp: jak działa atak przez nową grupę
Zgodnie z analizą Google Project Zero i Malwarebytes, krytyczny był prosty mechanizm: automatyczne pobieranie multimediów w nowo utworzonych grupach. W praktyce wyglądało to tak:
- atakujący zakłada nową grupę na WhatsApp;
- dodaje do niej wybrane ofiary – wystarczy, że ma ich numery;
- wysyła do grupy specjalnie przygotowany plik multimedialny (np. zdjęcie, wideo, dokument);
- na telefonach ofiar plik pobiera się automatycznie, bez dotykania ekranu;
- złośliwy plik może posłużyć jako wehikuł do dalszego ataku na system Android.
Według Malwarebytes, luka dotyczyła aplikacji WhatsApp na Androida i wykorzystywała fakt, że aplikacja z założenia „pomaga” użytkownikowi, pobierając media bez pytania. W nowych czatach grupowych dawało to hakerom wyjątkowo wygodne środowisko do testowania złośliwych plików.
Kiedy telefon sam zapisuje każdy plik z czatu grupowego, użytkownik nawet nie wie, że w pamięci urządzenia wylądował potencjalnie niebezpieczny materiał.
WhatsApp poinformował, że wprowadził już poprawkę łatającą tę konkretną podatność. Nie oznacza to jednak, że można zostawić wszystko „jak jest”. Dwa ustawienia wciąż warto zmienić ręcznie, żeby zminimalizować przyszłe ryzyka.
Kto może dodać cię do grupy? Zmień to od razu
Domyślny tryb w WhatsApp sprawiał, że praktycznie każdy mógł dodać cię do czatu grupowego, jeśli miał twój numer. To dobry moment, by ograniczyć tę swobodę.
Jak ustawić dodawanie do grup tylko przez zaufane osoby
Na telefonie z Androidem lub iOS wejdź w ustawienia WhatsApp i poszukaj opcji związanej z grupami (nazwy mogą się minimalnie różnić w zależności od wersji aplikacji). Następnie ustaw, by do grup dodawały cię tylko osoby z twojej książki adresowej. Dla części numerów możesz wprowadzić dodatkowe wyjątki.
| Ustawienie | Ryzyko | Dla kogo |
|---|---|---|
| Każdy może dodać do grupy | Wysokie – otwarta droga dla spamerów i ataków | Nikomu nie zalecane |
| Tylko kontakty | Średnie – wymagany wcześniejszy zapis w książce | Większość użytkowników |
| Tylko kontakty z wyłączeniami | Niższe – dodatkowa kontrola | Osoby szczególnie dbające o prywatność |
Taka zmiana ma prosty efekt: nieznajomy, który zdobył twój numer, nie przeciągnie cię po cichu na nową grupę z losowymi osobami. Najpierw będzie musiał nawiązać kontakt, co już filtruje część prób ataku.
Wyłącz automatyczne pobieranie plików – zwłaszcza w danych komórkowych
Druga sprawa to pliki multimedialne. Większość osób nigdy nie zagląda do ustawień „Pamięć i dane” w WhatsApp, a właśnie tam ukryty jest jeden z ważniejszych przełączników bezpieczeństwa. Chodzi o automatyczne pobieranie zdjęć, filmów, audio i dokumentów.
Dlaczego ręczne pobieranie jest bezpieczniejsze
Jeśli aplikacja pobiera wszystko sama, nie masz kontroli nad tym, co trafia do pamięci telefonu. Jeden podejrzany plik na z pozoru niewinnej grupie może okazać się bramą do dalszego ataku.
Rozsądne ustawienie wygląda tak:
- w danych komórkowych – automatyczne pobieranie wyłączone dla wszystkich typów plików;
- w sieci Wi‑Fi – możesz zostawić np. tylko zdjęcia, ale filmy i dokumenty najlepiej pobierać ręcznie;
- w roamingu – całkowity zakaz automatycznego pobierania, zarówno ze względów bezpieczeństwa, jak i kosztów.
Dzięki temu sam decydujesz, co ląduje na telefonie. Jeśli pojawia się dziwny plik od osoby, której nie kojarzysz, wystarczy go zignorować i usunąć czat.
Każde kliknięcie pobierz to świadoma decyzja. A świadoma decyzja utrudnia pracę atakującemu, który liczy na odruchowe działanie aplikacji, nie użytkownika.
Aktualizacje WhatsApp to nie tylko nowe funkcje
Twórcy WhatsApp informują, że błąd związany z wykorzystywaniem złośliwych multimediów w nowych grupach został załatany. Warunek jest prosty: aplikacja musi być zaktualizowana do najnowszej wersji.
W praktyce wiele osób odkłada aktualizacje, bo „wszystko działa”. Tymczasem część łatek nigdy nie trafia na nagłówki serwisów technologicznych, a usuwa luki równie groźne jak ta opisana przez bezpieczeństwa. Warto więc:
- włączyć automatyczne aktualizacje aplikacji w sklepie Google Play lub App Store;
- od czasu do czasu ręcznie sprawdzić, czy dla WhatsApp nie czekają nowe wersje;
- regularnie restartować telefon, żeby wszystkie zmiany systemowe i aplikacyjne wczytały się poprawnie.
Co jeszcze możesz zrobić, by grupy na WhatsApp były bezpieczniejsze
Ustawienia prywatności warto potraktować jako część codziennej higieny cyfrowej. Raz na jakiś czas przejrzyj listę grup i usuń te, których już nie potrzebujesz. Zmniejszysz w ten sposób liczbę miejsc, gdzie krążą twoje dane kontaktowe.
Dobrym nawykiem jest też ograniczenie widoczności zdjęcia profilowego i statusu. Możesz je ustawić tak, aby widziały je tylko osoby zapisane w kontaktach. Obcy, nawet jeśli trafią na grupę z twoim numerem, nie zbudują tak łatwo twojego profilu na potrzeby socjotechniki.
Atakujący coraz częściej łączą różne techniki: wykorzystanie luk technicznych w aplikacjach, socjotechnikę na czatach grupowych i masowe rozsyłanie złośliwych linków lub plików. Proste zmiany w konfiguracji – ograniczenie dodawania do grup, wyłączenie automatycznego pobierania multimediów i aktualna wersja WhatsApp – sprawiają, że taki złożony atak przestaje im się „opłacać”. Łatwiej jest przejść do mniej ostrożnej ofiary.
Jeśli korzystasz z WhatsApp zawodowo, warto też rozważyć oddzielny numer służbowy, który nie trafia na publiczne ogłoszenia czy portale. Im mniej krąży, tym trudniej zbudować listę celów do automatycznego dodawania do podejrzanych grup. W połączeniu z ostrożnym klikaniem w pliki i linki daje to całkiem solidną tarczę, bez rezygnacji z wygody komunikatora.
