A maioria das pessoas só abre o WhatsApp e sai digitando, envia fotos, áudios e emojis. Enquanto isso, o app funciona com configurações padrão que quase ninguém revisa. Foi justamente nesse conjunto de ajustes que especialistas em segurança do Google e de uma empresa de cibersegurança identificaram um ponto frágil. Quem usa um telemóvel Android e acaba entrando em grupos com pouca atenção podia, por isso, cair no radar de atacantes.
O que está por trás do novo alerta do WhatsApp
Seja conversa de família, grupo da equipa de futebol ou papo do trabalho: é raro alguém usar WhatsApp sem grupos. E, muitas vezes, a pessoa nem percebe o momento em que foi adicionada - um contacto escolhe o número, define um nome para a conversa e pronto. De repente, você aparece num grupo cheio de desconhecidos, com o seu número de telefone visível.
E os riscos não param aí. Além do número e da foto de perfil, também podem ficar expostos o recado/status e sinais de atividade. Esse “primeiro contacto” é explorado com frequência por criminosos para abordar vítimas, tentar recolher dados ou distribuir links maliciosos.
Pesquisadores de TI do Google Project Zero e da empresa Malwarebytes demonstraram agora que, em determinadas condições, atacantes podiam abusar de um grupo recém-criado no WhatsApp para “empurrar” ficheiros maliciosos - sem que o utilizador tocasse intencionalmente neles.
"O ponto perigoso: mídias de novos chats de grupo podiam chegar automaticamente a dispositivos Android - controladas por uma configuração padrão."
Assim funcionava o ataque via grupos do WhatsApp
Segundo os pesquisadores, para começar, o atacante precisava de apenas uma informação: o número de telefone do alvo. Em teoria, bastava que o alvo estivesse como contacto (ou fosse adicionável) para que o agressor criasse um grupo e incluísse essa pessoa.
Dentro desse grupo novo, era possível enviar uma foto, vídeo ou outro ficheiro de mídia preparado. Por conta de uma falha no WhatsApp para Android, esse conteúdo podia ser descarregado automaticamente e servir como vetor de ataque.
Na prática, o golpe não dependia obrigatoriamente de o utilizador iniciar um download manualmente ou clicar por curiosidade no ficheiro. A combinação entre a lógica de grupos e a função de descarregar mídias automaticamente abria uma porta de entrada.
"A falha afetava sobretudo utilizadores de Android que mantinham ativado o download automático de mídia em chats de grupo."
Qual configuração do WhatsApp facilitava o problema
Duas definições, que em muitos perfis vêm relativamente permissivas de fábrica, ficaram no centro do risco:
- Quem pode adicionar você a grupos sem pedir?
- As mídias de conversas devem ser descarregadas automaticamente no seu dispositivo?
Muita gente deixa a opção de grupos no modo mais amplo, em que praticamente qualquer pessoa com o número consegue fazer um convite. Ao mesmo tempo, é comum que o download automático de fotos, vídeos e documentos em grupos esteja ligado.
Essa junção é o que simplifica a vida de quem ataca: cria-se um grupo, adiciona-se o alvo, envia-se um ficheiro malicioso - e conta-se com o telemóvel para concluir o resto.
Como alterar a configuração perigosa de grupos
O WhatsApp permite controlar com bastante precisão quem tem permissão para colocar você em grupos. No Android ou no iPhone, o caminho é essencialmente o mesmo:
- Abra o WhatsApp.
- Entre em Configurações.
- Toque em Privacidade.
- Abra Grupos.
Ali, normalmente, aparecem estas opções:
| Configuração | Significado |
|---|---|
| Todos | Qualquer pessoa que conheça o seu número pode colocar você diretamente num grupo. |
| Meus contactos | Apenas pessoas guardadas na sua agenda podem adicionar você. |
| Meus contactos exceto… | Você pode excluir contactos específicos. |
Para reforçar a segurança, vale a pena sair da opção aberta e mudar para Meus contactos, excluindo ainda alguns números se fizer sentido. Assim, você reduz a chance de semidesconhecidos - ou números de conversas antigas - puxarem você para grupos do nada.
Desativar o download automático de mídia em grupos
A segunda alavanca importante fica em Armazenamento e dados. É ali que você define se imagens, vídeos, documentos e áudios serão descarregados automaticamente no aparelho, dependendo do tipo de ligação.
No Android, o caminho é este:
- Abra Configurações no WhatsApp.
- Selecione Armazenamento e dados.
- Em Download automático de mídia, verifique as opções para dados móveis, Wi‑Fi e roaming.
O ideal é remover todas as marcações relacionadas a grupos ou restringi-las bastante, para que nenhum ficheiro seja guardado sem confirmação consciente. Quem quer poupar franquia de dados também ganha com isso, já que ficheiros grandes deixam de ser descarregados por padrão.
"Regra: nenhum ficheiro deveria cair no seu telemóvel sem que você, pelo menos uma vez, tenha concordado conscientemente."
WhatsApp reage com atualização - por que ainda vale agir
De acordo com a empresa de segurança, o fornecedor do mensageiro lançou uma correção. Ou seja: nas versões atuais da aplicação, a falha original encontrada estaria fechada.
Mesmo assim, as configurações descritas continuam importantes. Afinal, mesmo sem um bug específico, convites de grupo demasiado abertos e download automático são um alvo atrativo para golpistas que mudam de técnica o tempo todo. Atualizar a aplicação ajuda, mas não substitui uma configuração cuidadosa.
Por isso, faz sentido colocar três pontos na rotina:
- Atualizar o WhatsApp com frequência pela Play Store ou App Store.
- Limitar permissões de grupos a contactos de confiança.
- Desativar ou restringir ao máximo o download automático de mídias.
Que dados você realmente expõe em grupos do WhatsApp
Muita gente subestima o quanto um simples número de telefone revela. Em grupos, outros detalhes costumam ficar visíveis:
- Foto de perfil, que pode indicar localização, família ou hobbies,
- Linhas de status/recado com pistas sobre trabalho, humor ou planos de viagem,
- Horários online e padrões de resposta nas conversas.
Quem procura vítimas de propósito cruza esses sinais para montar tentativas de phishing mais convincentes - por exemplo, falsos serviços de entrega, bancos ou supostos contactos de suporte. Quanto mais você deixa público, mais fácil fica criar uma história que pareça real.
Exemplos práticos para mais segurança no dia a dia
Alguns hábitos simples reduzem bastante o risco, sem acabar completamente com a conveniência:
- Avalie grupos novos com desconfiança: você conhece mesmo todos os participantes?
- Mantenha a foto de perfil mais neutra, como uma paisagem em vez de fotos de crianças.
- Não toque em ficheiros quando o remetente for desconhecido ou parecer suspeito.
- Saia imediatamente de grupos estranhos e faça a denúncia.
Quem trabalha com informação confidencial - como em saúde, administração pública ou finanças - deveria ser ainda mais rigoroso. Nesse contexto, um download de mídia feito sem pensar já pode virar um problema, especialmente se o telemóvel também dá acesso a outros sistemas.
Por que funções automáticas são tão delicadas
A praticidade faz parte da proposta dos mensageiros modernos. A ideia é que tudo funcione “sozinho”, sem o utilizador ter de confirmar o tempo inteiro. É exatamente isso que torna downloads automáticos e convites abertos tão comuns - e, ao mesmo tempo, tão arriscados.
Para um atacante, qualquer automatismo é uma vantagem: se não existe pergunta nem confirmação, também não há um momento em que a pessoa desconfia. Por isso, pesquisadores de segurança insistem em revisar automatizações e permitir apenas o que for realmente necessário.
Ao passar alguns minutos nas definições de privacidade do WhatsApp, você ganha tranquilidade no longo prazo. Os grupos ficam mais controláveis, o telemóvel deixa de descarregar ficheiros duvidosos em segundo plano, e um contacto aleatório passa a ter muito menos influência sobre o seu dispositivo. Por isso, hoje mais do que nunca, vale a pena fazer esse ajuste rápido dentro da aplicação.
Comentários
Ainda não há comentários. Seja o primeiro!
Deixar um comentário