Stále více uživatelů WhatsAppu zbytečně riskuje v skupinových chatech kvůli jedinému výchozímu nastavení, které téměř nikdo nikdy nemění.
Bezpečnostní výzkumníci varují, že automatická mezera ve WhatsAppu usnadňuje zločincům průnik přes skupinové konverzace. Nejde o žádný velkolepý filmový hack — jde o kombinaci běžných každodenních návyků a nešikovného výchozího nastavení aplikace.
Jak se skupinové konverzace na WhatsAppu stávají rizikem
Každý, kdo WhatsApp používá, se rychle ocitne hned v několika skupinách najednou: rodina, sportovní tým, sousedé, práce, škola, narozeniny. Nová skupina přibude prakticky ze dne na den — stačí, aby ji někdo s vaším číslem vytvořil. A než se nadějete, vaše telefonní číslo leží mezi desítkami cizích lidí.
V takové skupině ostatní vidí víc než jen vaše jméno. Podle vašeho nastavení mohou cizí lidé získat přístup k:
- vašemu telefonnímu číslu
- vaší profilové fotografii
- vašemu stavovému řádku nebo informacím o vás
- vašemu chování v chatu a aktivitě online
Na základě těchto dat mohou útočníci sestavit váš profil. Myslíte si třeba na lidi, kteří cíleně phishují, oslovují vás přes jiné aplikace nebo prodávají vaše číslo inzerentům či podvodným sítím.
Výzkumníci: skupinové chaty jako výchozí bod útoků
Bezpečnostní experti z Google Project Zero a kybernetické firmy Malwarebytes popisují scénář, při němž útočník nejprve potřebuje znát vaše číslo. S tímto číslem vás může přidat do nové skupinové konverzace.
A právě v takové nové skupině může útok začít. Pachatel pošle zdánlivě normální mediální soubor, například:
- fotografii (například „skupinovka.jpg")
- video („party.mp4")
- zvukový záznam („hlasova_zprava.m4a")
Podle Malwarebytes existovala ve WhatsAppu pro Android zranitelnost, díky níž byl takový soubor automaticky stažen a v některých případech mohl být zneužit jako vektor útoku — bez toho, abyste na cokoliv klikli.
Jádrem problému není jediný velký únik dat, ale výchozí nastavení, které automaticky stahuje mediální soubory, jakmile se objeví ve skupinovém chatu.
Klíčové nastavení: automatické stahování médií
WhatsApp je proslulý tím, že fotografie a videa stahuje okamžitě, abyste je mohli rychle zobrazit. To se sice zdá praktické, ale tato pohodlnost zároveň otevírá prostor ke zneužití v nových skupinových konverzacích.
Co přesně se může pokazit
Pokud vás někdo přidá do nové skupiny a okamžitě pošle škodlivý soubor, může se stát následující:
- Vaše zařízení soubor automaticky stáhne, protože je aplikace takto nastavena.
- Soubor se uloží do telefonu, někdy dokonce přímo do galerie.
- V závislosti na zranitelnosti použité verze aplikace může být tento soubor zneužit k dalšímu přístupu nebo k získání vašich dat.
Zranitelnost, na niž výzkumníci upozorňují, se týká WhatsAppu na Androidu. Uživatelé iPhone jsou v tomto konkrétním případě méně ohroženi, ale přesto by měli svá nastavení zpřísnit. Stahování nevyžádaných souborů zůstává špatným nápadem za každých okolností.
Takto rychle skupiny na WhatsAppu výrazně zabezpečíte
Dvě jednoduché úpravy v nastavení WhatsAppu riziko podstatně sníží: určíte, kdo vás smí přidávat do skupin, a zakážete automatické stahování fotografií a videí.
1. Omezte, kdo vás může přidávat do skupin
Otevřete v telefonu nastavení WhatsAppu a projděte možnosti ochrany soukromí. V sekci týkající se skupin zrušte výběr možnosti „Kdokoliv" a zvolte:
- „Moje kontakty" – do skupiny vás mohou přidat jen lidé z vašeho adresáře.
- „Moje kontakty s výjimkou…" – praktické, pokud chcete vyloučit například pracovní kontakty nebo konkrétní osobu.
Omezením oprávnění ke skupinám zbavíte svůj WhatsApp velké části spamových skupin a potenciálních hrozeb.
2. Vypněte automatické stahování médií
Druhé riziko se skrývá v nastavení úložiště. V menu „Úložiště a data" zjistíte, jak jsou mediální soubory stahovány do vašeho zařízení.
V možnostech pro mobilní data, Wi-Fi i roaming nastavte, aby se fotografie, videa a dokumenty nestahovala automaticky. Zaškrtněte pouze typy souborů, které opravdu chcete přijímat automaticky — nebo vše vypněte a rozhodujte se u každého souboru zvlášť.
| Nastavení | Bezpečná volba |
|---|---|
| Při použití mobilních dat | Žádná média nestahovat automaticky |
| Při připojení přes Wi-Fi | Pouze fotografie, nebo vše vypnout |
| Při roamingu | Vždy vypnuto, žádné automatické stahování |
Sami tak rozhodnete, zda konkrétnímu souboru důvěřujete. Jedno klepnutí navíc trvá vteřinu, ale zabrání tomu, aby se na váš telefon dostávaly soubory bez vašeho vědomí.
Aktualizujte aplikaci WhatsApp ihned
WhatsApp oznámil, že vydal bezpečnostní aktualizaci, která odstraňuje objevenou zranitelnost. Ochranu z ní získají ale pouze ti, kdo používají nejnovější verzi aplikace.
Zkontrolujte tedy v obchodě s aplikacemi, zda je k dispozici aktualizace. Zapněte si automatické aktualizace, pokud nechcete kontrolovat ručně. Mnoho lidí nechává aplikace měsíce bez aktualizací a zbytečně tak zaostává za bezpečnostními záplatami.
Aktuální aplikace, přísnější nastavení soukromí a žádné automatické stahování — to dohromady tvoří solidní základ obrany proti těmto útokům.
Proč jsou zločinci tak posedlí vaším číslem na WhatsAppu
Telefonní číslo může působit nevinně, ale pro digitální zločince je to často dokonalý klíč. Jen s vaším číslem mohou:
- kontaktovat vás přes SMS nebo jiné aplikace s falešnými odkazy či podvodnými platebními požadavky
- propojit vás s jinými uniklými databázemi
- předstírat, že jsou někdo, koho znáte, a to přímo ve skupinovém chatu
- vaše číslo prodat telefonním a spamovým seznamům
V kombinaci s vaší profilovou fotografií a stavovým řádkem vzniká obraz toho, kdo jste, s kým se stýkáte a kde přibližně žijete. Cílené podvody tak působí mnohem věrohodněji.
Praktické návyky, které můžete zavést hned teď
Kromě úpravy nastavení pomáhá i několik jednoduchých zvyků, díky nimž budete ve WhatsApp skupinách bezpečnější:
- Opusťte skupiny, ve kterých nikoho neznáte nebo které působí podezřele.
- Neklikejte na odkazy sdílené cizími lidmi ve skupině.
- Nestahujte soubory od osob, kterým nedůvěřujete — ani když je ostatní ve skupině již otevírají.
- Používejte neutrální profilovou fotografii, pokud jste v mnoha otevřených skupinách.
- Nastavte viditelnost svého posledního přihlášení a aktivity online pouze pro kontakty.
Lidé pracující s citlivými údaji — například ve zdravotnictví, žurnalistice, ve státní správě nebo ve finančním sektoru — by měli být obzvláště opatrní. Útočník, který takovou osobu dostane do skupiny na WhatsAppu, může cíleně zkusit získat přístup k jejímu zařízení prostřednictvím zdánlivě nevinného souboru.
Kdo si myslí, že nemá co skrývat, často podceňuje komerční rozměr celé věci. Reklamní sítě, nepoctivé zprostředkovatelské firmy a spamové organizace shromažďují telefonní čísla, behaviorální data a kontaktní sítě ve velkém měřítku. Zdánlivě nevinný skupinový chat se tak může stát novým zdrojem dat pro tyto sbírky.
