Stále více uživatelů WhatsAppu zbytečně riskuje v skupinových chatech kvůli jednomu výchozímu nastavení, které téměř nikdo nikdy nezmění.
Bezpečnostní experti varují, že automatická mezera ve WhatsAppu usnadňuje kyberzločincům průnik přes skupinové konverzace. Nejde o žádný hollywoodský hack — jde o kombinaci běžných každodenních návyků a nešikovného výchozího nastavení aplikace.
Proč se skupinové konverzace na WhatsAppu stávají rizikem
Kdo WhatsApp používá, ocitne se rychle hned v několika skupinách najednou: rodina, sportovní tým, sousedé, práce, škola, narozeniny. Nová skupina se přidá prakticky sama od sebe — stačí, aby ji vytvořil někdo, kdo má vaše číslo. Než se nadějete, vaše telefonní číslo sdílíte s desítkami cizích lidí.
V takové skupině ostatní vidí víc než jen vaše jméno. Podle vašeho nastavení mohou neznámí lidé získat přístup k:
- vašemu telefonnímu číslu
- vaší profilové fotce
- vašemu stavu nebo informacím v profilu
- vašemu online chování v chatu
Na základě těchto údajů si o vás útočníci mohou sestavit podrobný profil. Mohou cíleně phishovat, kontaktovat vás přes jiné aplikace nebo vaše číslo prodat reklamním sítím či podvodným organizacím.
Výzkumníci: skupinové chaty jako odrazový můstek pro útoky
Bezpečnostní experti z Google Project Zero a společnosti Malwarebytes popisují scénář, při kterém útočník nejprve potřebuje vaše telefonní číslo. S tímto číslem vás může přidat do nové skupinové konverzace.
Jakmile jste ve skupině, útok může začít. Útočník odešle zdánlivě normální mediální soubor, například:
- fotografii (třeba „skupinovka.jpg")
- video („oslava.mp4")
- zvukový fragment („hlasovazprava.m4a")
Podle Malwarebytes se ve WhatsAppu pro Android nacházela zranitelnost, díky níž se takový soubor automaticky stáhl a v některých případech mohl být zneužit jako vektor útoku — aniž byste na cokoli klikli.
Jádro problému není jediný velký únik dat, ale výchozí nastavení, které automaticky stahuje mediální soubory hned poté, co se objeví ve skupinovém chatu.
Klíčové nastavení: automatické stahování médií
WhatsApp je známý tím, že fotky a videa stahuje okamžitě, abyste je mohli rychle zobrazit. Působí to pohodlně, ale právě tato pohodlnost otevírá dveře ke zneužití v nových skupinových konverzacích.
Co přesně se může pokazit
Pokud vás někdo přidá do nové skupiny a ihned odešle škodlivý soubor, stane se toto:
- Vaše zařízení soubor automaticky stáhne, protože je aplikace takto nastavena.
- Soubor se ocitne ve vašem telefonu, někdy dokonce ve fotogalerii.
- V závislosti na zranitelnosti používané verze aplikace může být tento soubor zneužit k dalšímu přístupu nebo k odcizení dat.
Zranitelnost, na kterou výzkumníci upozorňují, se týká WhatsAppu na Androidu. Uživatelé iPhonu jsou v tomto konkrétním případě méně ohroženi, ale i oni by měli svá nastavení zpřísnit. Automatické stahování nevyžádaných souborů je špatný nápad za každých okolností.
Jak skupinové chaty na WhatsAppu výrazně zabezpečit
Dvě jednoduchá nastavení dokážou riziko podstatně snížit: určíte, kdo vás smí přidávat do skupin, a zakážete automatické stahování fotek a videí.
1. Omezte, kdo vás může přidávat do skupin
Otevřete nastavení WhatsAppu v telefonu a projděte si možnosti ochrany soukromí. U sekce týkající se skupin zrušte volbu „Všichni" a vyberte místo toho:
- „Moje kontakty" — do skupiny vás mohou přidat jen lidé, které máte uložené v adresáři.
- „Moje kontakty, kromě…" — praktická volba, pokud chcete vyloučit konkrétní osoby, například pracovní kontakty.
Omezením oprávnění ke skupinám se zbavíte velké části obtěžujících spamových skupin i potenciálních hrozeb.
2. Vypněte automatické stahování médií
Druhé riziko se skrývá v nastavení úložiště. V menu „Úložiště a data" zkontrolujte, jakým způsobem se mediální soubory stahují do vašeho zařízení.
U možností pro mobilní data, Wi-Fi i roaming nastavte, aby se fotky, videa a dokumenty nestahovala automaticky. Zaškrtněte pouze typy souborů, které opravdu chcete přijímat automaticky — nebo vše vypněte a o každém souboru rozhodujte vědomě sami.
| Nastavení | Bezpečná volba |
|---|---|
| Při mobilních datech | Žádná média nestahovat automaticky |
| Při Wi-Fi | Jen fotky, nebo vše vypnout |
| Při roamingu | Vždy vypnuto, žádná automatická stahování |
Sami tak rozhodujete o každém souboru zvlášť. Jedno klepnutí navíc trvá vteřinu, ale zabrání tomu, aby se na váš telefon dostaly neviditelné škodlivé soubory.
Okamžitě aktualizujte aplikaci WhatsApp
WhatsApp oznámil vydání bezpečnostní aktualizace, která objevenou zranitelnost opravuje. Ochrání vás ale jen tehdy, pokud používáte nejnovější verzi aplikace.
Zkontrolujte proto v obchodě s aplikacemi, zda na vás čeká nějaká aktualizace. Zapněte si automatické aktualizace, pokud nechcete vše dělat ručně. Spousta lidí nechává aplikace zastaralé celé měsíce a zbytečně tak přichází o důležité bezpečnostní záplaty.
Aktuální aplikace, přísnější nastavení soukromí a zakázané automatické stahování dohromady tvoří solidní základ ochrany před tímto typem útoků.
Proč jsou kyberzločinci tak posedlí vaším číslem na WhatsAppu
Telefonní číslo se může zdát nevinné, ale pro digitální zločince je to často dokonalý klíč. Jen s vaším číslem mohou:
- kontaktovat vás přes SMS nebo jiné aplikace s falešnými odkazy nebo platebními podvody
- propojit vás s jinými uniklými databázemi na internetu
- předstírat, že jsou někdo z vašich blízkých, v skupinovém chatu
- prodat vaše číslo do call center nebo spamových seznamů
V kombinaci s vaší profilovou fotkou a stavem tak vzniká obraz o tom, kdo jste, s kým se stýkáte a v jakém regionu žijete. To dělá cílené podvody mnohem věrohodnějšími.
Praktické návyky, které můžete zavést hned teď
Kromě změny nastavení vám pomůže několik jednoduchých zvyklostí, díky nimž budete ve skupinách na WhatsAppu bezpečnější:
- Opusťte skupiny, v nichž nikoho neznáte nebo které vám přijdou podezřelé.
- Neklikejte na odkazy sdílené neznámými lidmi ve skupině.
- Nestahujte soubory od lidí, kterým nedůvěřujete — ani když je ostatní ve skupině už otevřeli.
- Pokud jste v mnoha otevřených skupinách, používejte neutrální profilovou fotku.
- Nastavte viditelnost vašeho „Naposledy online" a online statusu pouze pro kontakty.
Lidé, kteří pracují s citlivými daty — například ve zdravotnictví, žurnalistice, státní správě nebo finančním sektoru — by měli být obzvlášť opatrní. Útočník, který takovou osobu dostane do skupiny na WhatsAppu, může cíleně zkusit získat přístup k jejímu zařízení prostřednictvím zdánlivě nevinného souboru.
Kdo si myslí, že soukromě nemá co skrývat, obvykle podceňuje komerční rozměr celé věci. Reklamní sítě, pochybní zprostředkovatelé a spamové organizace ve velkém sbírají telefonní čísla, behaviorální data a kontaktní sítě. Nevinný skupinový chat se tak snadno stane novým zdrojem pro tyto datové sbírky.
