Coraz więcej użytkowników WhatsApp naraża się na niepotrzebne ryzyko w czatach grupowych przez jedną domyślną funkcję, którą niemal nikt nigdy nie zmienia.
Jak rozmowy grupowe w WhatsApp stają się zagrożeniem
Kto korzysta z WhatsApp, szybko ląduje w kilku grupach jednocześnie: rodzina, drużyna sportowa, sąsiedzi, praca, szkoła, urodziny. Nierzadko pojawia się nowa grupa, założona przez kogoś, kto ma twój numer. Zanim się zorientujesz, twój numer telefonu trafia między dziesiątki obcych osób.
W takiej grupie inni widzą więcej niż tylko twoje imię. W zależności od ustawień nieznajomi mogą mieć dostęp do:
- twojego numeru telefonu
- twojego zdjęcia profilowego
- twojego opisu lub statusu
- twojej aktywności w czacie
Na tej podstawie złośliwi użytkownicy mogą zbudować twój profil. Mowa o osobach, które chcą przeprowadzić ukierunkowany phishing, kontaktować się z tobą przez inne aplikacje lub sprzedać twój numer reklamodawcom i sieciom oszustów.
Eksperci: czaty grupowe jako punkt startowy ataków
Specjaliści ds. bezpieczeństwa z Google Project Zero oraz firmy Malwarebytes opisują scenariusz, w którym atakujący najpierw potrzebuje twojego numeru telefonu. Dysponując nim, może dodać cię do nowej rozmowy grupowej.
W takiej nowej grupie atak może się rozpocząć. Sprawca wysyła pozornie zwykły plik multimedialny, na przykład:
- zdjęcie (np. „zdjecie_grupowe1.jpg")
- film („impreza.mp4")
- fragment audio („wiadomosc_glosowa.m4a")
Według Malwarebytes w WhatsApp na Androida istniała luka, przez którą taki plik był automatycznie pobierany i w niektórych przypadkach mógł być wykorzystany jako wektor ataku — bez konieczności klikania czegokolwiek przez ofiarę.
Sedno problemu nie leży w jednym wielkim wycieku danych, lecz w domyślnym ustawieniu, które automatycznie pobiera pliki multimedialne natychmiast po ich pojawieniu się na czacie grupowym.
Kluczowe ustawienie: automatyczne pobieranie mediów
WhatsApp jest znany z tego, że od razu pobiera zdjęcia i filmy, abyś mógł je szybko obejrzeć. To wygodne, ale taka łatwość jednocześnie otwiera przestrzeń do nadużyć w nowych rozmowach grupowych.
Co dokładnie może pójść nie tak
Jeśli ktoś doda cię do nowej grupy i natychmiast wyśle złośliwy plik, dzieje się następujące:
- Twoje urządzenie automatycznie pobiera plik, bo aplikacja jest tak skonfigurowana.
- Plik trafia na telefon, czasem nawet do galerii zdjęć.
- W zależności od luki w używanej wersji aplikacji plik może zostać wykorzystany do uzyskania dalszego dostępu lub odczytu danych.
Luka, na którą wskazują badacze, dotyczy WhatsApp na Androida. Użytkownicy iPhone'a są w tym konkretnym przypadku mniej narażeni, ale i tak powinni przejrzeć swoje ustawienia. Automatyczne pobieranie niezamówionych plików to zawsze zły pomysł.
Jak szybko zwiększyć bezpieczeństwo grup WhatsApp
Dwie proste zmiany w ustawieniach WhatsApp znacząco ograniczają ryzyko: kontrolujesz, kto może cię dodawać do grup, i wyłączasz automatyczne pobieranie zdjęć oraz filmów.
1. Ogranicz, kto może cię dodawać do grup
Wejdź w ustawieniach WhatsApp do opcji prywatności i znajdź sekcję dotyczącą grup. Usuń zaznaczenie przy opcji „Wszyscy" i wybierz:
- „Moje kontakty" — tylko osoby zapisane w twojej książce adresowej mogą swobodnie dodawać cię do grupy.
- „Moje kontakty, z wyjątkiem…" — przydatne, gdy chcesz wykluczyć konkretne osoby, np. kontakty służbowe.
Ograniczając uprawnienia do grup, z góry eliminujesz większość zbędnego hałasu i potencjalnych grup spamowych.
2. Wyłącz automatyczne pobieranie mediów
Drugie zagrożenie kryje się w ustawieniach przechowywania danych. W menu „Przechowywanie i transfer danych" sprawdź, jak aplikacja pobiera pliki multimedialne.
Dla opcji dotyczących danych mobilnych, Wi-Fi i roamingu wyłącz automatyczne pobieranie zdjęć, filmów i dokumentów. Zaznaczaj wyłącznie te typy plików, które naprawdę chcesz pobierać automatycznie — albo wyłącz wszystko i decyduj o każdym pliku osobno.
| Ustawienie | Bezpieczny wybór |
|---|---|
| Dane mobilne | Nie pobieraj żadnych mediów automatycznie |
| Wi-Fi | Tylko zdjęcia lub całkowite wyłączenie |
| Roaming | Zawsze wyłączone, żadnych automatycznych pobrań |
Dzięki temu przy każdej wiadomości samodzielnie decydujesz, czy ufasz danemu plikowi. Ten jeden dodatkowy dotyk ekranu zajmuje sekundę, ale zapobiega cichemu trafianiu nieznanych plików na twoje urządzenie.
Natychmiast zaktualizuj aplikację WhatsApp
WhatsApp poinformował o wdrożeniu aktualizacji bezpieczeństwa, która usuwa wykrytą lukę. Korzystają z niej wyłącznie osoby posiadające najnowszą wersję aplikacji.
Sprawdź więc w sklepie z aplikacjami, czy jest dostępna aktualizacja. Włącz automatyczne aktualizacje, jeśli nie chcesz robić tego ręcznie za każdym razem. Wiele osób pozwala aplikacjom starzeć się miesiącami, przez co niepotrzebnie pozostaje bez najnowszych łatek bezpieczeństwa.
Aktualna aplikacja, bardziej restrykcyjne ustawienia prywatności i wyłączone automatyczne pobieranie — razem tworzą solidną podstawę ochrony przed tego typu atakami.
Dlaczego przestępcy tak bardzo chcą twojego numeru WhatsApp
Numer telefonu może wydawać się niewinny, ale dla cyfrowych przestępców to często doskonały klucz. Dysponując samym numerem, mogą:
- kontaktować się z tobą przez SMS lub inne aplikacje, wysyłając fałszywe linki lub prośby o płatność
- powiązać cię z innymi wyciekniętymi bazami danych dostępnymi w internecie
- podszywać się pod kogoś znajomego na czacie grupowym
- odsprzedać twój numer listom telemarketerów i spamerów
W połączeniu ze zdjęciem profilowym i opisem statusu powstaje obraz tego, kim jesteś, z kim się zadajesz i w jakim regionie mieszkasz. To sprawia, że ukierunkowane oszustwa stają się znacznie bardziej wiarygodne.
Praktyczne nawyki, które możesz wdrożyć od zaraz
Oprócz zmiany ustawień kilka prostych rutyn pomaga bezpieczniej poruszać się po grupach WhatsApp:
- Opuszczaj grupy, w których nikogo nie znasz lub które wydają się podejrzane.
- Nie klikaj w linki udostępniane przez nieznajomych w grupie.
- Nie pobieraj plików od osób, którym nie ufasz — nawet jeśli inni członkowie grupy już je otworzyli.
- Użyj neutralnego zdjęcia profilowego, jeśli należysz do wielu otwartych grup.
- Ogranicz widoczność swojego statusu „ostatnio widziany" i „online" wyłącznie do kontaktów.
Osoby pracujące z wrażliwymi danymi — na przykład w ochronie zdrowia, dziennikarstwie, administracji publicznej czy finansach — powinny zachować szczególną ostrożność. Złośliwy użytkownik, któremu uda się wciągnąć taką osobę do grupy WhatsApp, może próbować uzyskać dostęp do jej urządzenia za pomocą pozornie niewinnego pliku.
Kto uważa, że prywatnie nie ma nic do ukrycia, często nie docenia aspektu komercyjnego. Sieci reklamowe, nieuczciwi pośrednicy i organizacje spamujące na masową skalę zbierają numery telefonów, dane o zachowaniu i sieci kontaktów. Niepozorna rozmowa grupowa może stać się nowym źródłem zasilającym te zbiory danych.
