Tysiące użytkowników codziennie pada ofiarą tej samej luki w WhatsAppie
Każdego dnia tysiące osób zostaje dodanych do nowych grup na WhatsAppie — często nawet tego nie zauważając. I właśnie w tym miejscu kryje się sprytnie wykorzystywana luka bezpieczeństwa.
Badacze z Google oraz specjaliści od cyberbezpieczeństwa ostrzegają, że pewne domyślne ustawienie aplikacji znacznie ułatwia przestępcom włamanie się do twojego urządzenia przez czaty grupowe. To nie jest scenariusz rodem z hollywoodzkiego filmu — to zaskakująco przyziemne zagrożenie: nowa grupka, niepozorny plik i telefon, który wszystko zapisuje automatycznie.
Jak zwykła grupa WhatsApp staje się furtką dla hakerów
Każdy je zna — grupy z rodziną, kolegami z pracy, drużyną sportową albo rodzicami ze szkoły. Czasem sam je zakładasz, czasem ktoś cię dodaje i orientujesz się w tym dopiero kilka godzin później. W takich grupach nierzadko pojawiają się osoby, których nie znasz, a które widzą twój numer telefonu i zdjęcie profilowe.
Badacze z zespołu Google Project Zero oraz eksperci z firmy Malwarebytes pokazują, jak przestępcy mogą to wykorzystać. Atakującemu potrzebna jest do tego zaledwie jedna rzecz: numer telefonu choćby jednej ofiary.
Dysponując jednym numerem telefonu, atakujący może założyć fałszywą grupę, dodać do niej kilka ofiar, a następnie rozesłać zainfekowany plik multimedialny, który zostanie pobrany automatycznie.
Zdaniem badaczy przeprowadzenie tego ataku nie jest technicznie skomplikowane, gdy cyberprzestępca dysponuje listą potencjalnych celów. Szczególnie narażone są osoby pracujące z wrażliwymi danymi — dziennikarze, lekarze, urzędnicy czy pracownicy instytucji finansowych. W praktyce jednak w takim scenariuszu może znaleźć się każdy użytkownik aplikacji.
Problem tkwi w domyślnych ustawieniach WhatsAppa
Słaby punkt nie leży w samym czacie grupowym, lecz w dwóch domyślnych ustawieniach, które na wielu telefonach są wciąż aktywne:
- Kto może dodawać cię do grup WhatsApp bez twojej zgody
- Automatyczne pobieranie zdjęć, filmów i innych plików multimedialnych
Malwarebytes wyjaśnia, że w telefonach z Androidem istniała luka w sposobie, w jaki WhatsApp obsługuje pliki multimedialne. W nowo utworzonej grupie atakujący mógł wysłać specjalnie spreparowany plik. Dzięki automatycznemu pobieraniu trafiał on prosto na telefon — bez żadnego kliknięcia ze strony użytkownika.
Taki plik mógł służyć jako narzędzie ataku. Szczegóły techniczne różnią się w zależności od konkretnego exploita, ale sprowadza się to do wykorzystania błędów w aplikacji lub systemie operacyjnym. WhatsApp wydał już aktualizację bezpieczeństwa, jednak zasadniczy wniosek pozostaje aktualny: im mniej telefon robi automatycznie, tym mniejsza jest twoja podatność na atak.
Krok 1: ogranicz, kto może dodawać cię do grup
Pierwsza linia obrony jest prosta — zadbaj o to, żeby nie każdy mógł dodać cię do dowolnej grupy. Oto jak to zrobić:
- Otwórz WhatsApp na swoim telefonie.
- Przejdź do Ustawień.
- Wybierz Prywatność.
- Stuknij w Grupy.
- Zmień opcję z Wszyscy na Moje kontakty lub Moje kontakty, z wyjątkiem…
Ustawienie Moje kontakty uniemożliwia obcym bezpośrednie dodanie cię do grupy — muszą najpierw wysłać ci link z zaproszeniem, który możesz odrzucić. Opcja Moje kontakty, z wyjątkiem… pozwala natomiast zablokować dodawanie przez konkretne znane ci numery — na przykład z jakiegoś stowarzyszenia czy firmowej grupy, z której chcesz się wycofać.
Kto pozostawi ustawienie grupowe na opcji „Wszyscy", ten trzyma drzwi szeroko otwarte dla nieznanych administratorów i podejrzanych czatów grupowych.
Krok 2: wyłącz automatyczne pobieranie multimediów
Drugi ważny krok to dezaktywowanie automatycznego zapisywania plików multimedialnych. To rozwiązanie nie tylko zmniejsza ryzyko infekcji złośliwym oprogramowaniem, ale też oszczędza miejsce w pamięci i zużycie danych.
Jak zmienić ustawienia multimediów
W WhatsAppie przejdź do:
- Ustawienia
- Pamięć i dane (nazwa może się nieznacznie różnić w zależności od wersji językowej)
- W sekcji Automatyczne pobieranie multimediów sprawdź ustawienia dla:
- Danych mobilnych
- Wi-Fi
- Roamingu
- Odznacz wszystkie opcje przy zdjęciach, plikach audio, filmach i dokumentach.
Od tej chwili WhatsApp będzie każdorazowo pytać, czy chcesz pobrać dany plik. Jeśli coś wzbudzi twoje podejrzenia, wystarczy, że nic nie klikniesz — twój telefon pozostanie bezpieczny.
| Ustawienie | Domyślne ryzyko | Bezpieczna opcja |
|---|---|---|
| Kto może dodawać cię do grup | Wszyscy | Moje kontakty / Moje kontakty, z wyjątkiem… |
| Automatyczne pobieranie multimediów | Zdjęcia i niekiedy filmy są zapisywane natychmiast | Automatyczne pobieranie wyłączone, każdy plik osobno |
| Wersja aplikacji | Przestarzała, ze znanymi lukami bezpieczeństwa | Najnowsza wersja z Google Play lub App Store |
WhatsApp załatał lukę, ale to od ciebie zależy reszta
WhatsApp informuje, że poprawka dotycząca zgłoszonej podatności została już wdrożona. Kto aktualizuje aplikację przez oficjalny sklep, automatycznie otrzymuje tę łatkę bezpieczeństwa. Konkretna luka jest więc załatana — jednak przestępcy nieustannie szukają nowych sposobów na przejęcie urządzeń.
Dlatego rozsądnie jest nie polegać wyłącznie na aktualizacjach, lecz trzymać swoje ustawienia w ryzach. Nawet najlepiej zabezpieczona aplikacja nie pomoże, jeśli automatycznie akceptujesz wszystko od wszystkich — wtedy sam niepotrzebnie zwiększasz swoje ryzyko.
Jak rozpoznać podejrzaną grupę na WhatsAppie?
Poza technicznymi ustawieniami ogromną rolę odgrywa zdrowy sceptycyzm. Zwracaj szczególną uwagę na następujące sygnały ostrzegawcze:
- Dodaje cię ktoś, kogo praktycznie nie znasz lub w ogóle nie znasz.
- Nazwa grupy jest ogólnikowa lub wyjątkowo niejasna (np. „Info 2024", „Wiadomości dziś").
- Na liście uczestników od razu widać nieznane, zagraniczne numery.
- Zaraz po utworzeniu grupy pojawia się plik, link lub „dokument" bez żadnego wyjaśnienia.
- Ktoś wywiera presję: „pobierz to teraz", „kliknij tu szybko" albo „to pilne".
Jeśli zauważysz takie oznaki, natychmiast opuść grupę i zgłoś lub zablokuj nadawcę. Usuń też wszelkie pliki, które zdążyłeś już przypadkowo zapisać.
Dlaczego użytkownicy Androida powinni być szczególnie czujni
Opisana luka dotyczyła WhatsAppa na urządzeniach z Androidem. Wynika to ze sposobu, w jaki Android zarządza plikami i uprawnieniami. Badacze bezpieczeństwa generalnie częściej wykrywają tam problemy związane z plikami multimedialnymi i uprawnieniami dostępu niż w przypadku iOS.
Nie oznacza to jednak, że użytkownicy iPhone'a mogą spać spokojnie. Również na tych urządzeniach szkodliwe linki, phishing i podejrzane załączniki mogą wyrządzić poważne szkody. Zasada pozostaje ta sama: pozwól swojemu telefonowi robić automatycznie jak najmniej z tego, na czym zależy atakującemu.
Praktyczna higiena cyfrowa w grupach WhatsApp
Kilka prostych nawyków skutecznie zmniejsza ryzyko problemów związanych z grupami na WhatsAppie:
- Aktualizuj WhatsApp co najmniej raz w miesiącu przez oficjalny sklep z aplikacjami.
- Po każdej aktualizacji sprawdzaj, czy ustawienia prywatności i multimediów nadal odpowiadają twoim preferencjom.
- Nie udostępniaj swojego numeru telefonu niepotrzebnie na publicznych stronach internetowych i w mediach społecznościowych — trudniej wtedy go zebrać w bazach danych.
- Zachowaj czujność wobec masowych „grup informacyjnych", które szerzą się drogą nieoficjalną, zwłaszcza gdy są w nich wysyłane liczne załączniki.
- Ucz dzieci i starszych z twojego otoczenia, żeby nigdy nie klikali losowych plików ani linków bez zastanowienia.
Wiele osób traktuje WhatsApp jako bezpieczną, prywatną przestrzeń, bo wiadomości są szyfrowane. Szyfrowanie chroni treść przed podsłuchiwaniem — ale nie przed błędami w aplikacjach ani przed tym, na co sam zezwalasz. Czat grupowy to w gruncie rzeczy zbiór ludzi, za których numerami nie zawsze wiadomo, kto się kryje.
Poświęcając kilka minut na przejrzenie ustawień, trwale obniżasz ryzyko, że niewinnie wyglądająca rozmowa grupowa przerodzi się w poważny problem bezpieczeństwa. Mniej automatycznych pobrań, mniej nieznanych zaproszeń do grup i aktualna wersja aplikacji — razem tworzą solidną zaporę dla tych, którzy próbują dostać się do twojego urządzenia przez grupy na WhatsAppie.
