Jak vás může nevinná WhatsApp skupina otevřít hackerům
Každý den jsou tisíce lidí přidávány do nových WhatsApp skupin, často aniž by si toho ihned všimli. A právě v tom se skrývá chytře zneužívaná slabina. Výzkumníci z Googlu a přední bezpečnostní firmy varují, že dvě běžná výchozí nastavení výrazně usnadňují útočníkům přístup do vašeho telefonu prostřednictvím skupinových chatů.
Nejde o žádný hollywoodský kyberpunk. Jde o zcela každodenní riziko: nová skupinka, zdánlivě neškodný soubor a telefon, který vše stahuje automaticky.
Co přesně se děje a jak útok funguje
Skupinové chaty na WhatsAppu znají snad všichni – rodina, kolegové, fotbalový tým, sousedská hlídka nebo rodiče ze školky. Někdy skupinu sami vytvoříte, jindy vás někdo přidá a vy si toho všimnete až o hodiny později. V takových skupinách bývají i lidé, které vůbec neznáte, přesto vidí vaše telefonní číslo i profilovou fotku.
Výzkumníci z bezpečnostního týmu Project Zero společnosti Google a firmy Malwarebytes ukázali, jak toho mohou zločinci využít. Útočníkovi stačí znát číslo jediného oběti.
S jedním telefonním číslem může útočník vytvořit falešnou skupinu, přidat více cílů a následně rozeslat infikovaný mediální soubor, který se automaticky stáhne – bez jakékoliv akce ze strany uživatele.
Podle odborníků není tento útok technicky nijak složitý, jakmile má kyberzločinec seznam potenciálních obětí. Zvýšenému riziku jsou vystaveni především lidé pracující s citlivými daty – novináři, lékaři, manažeři nebo zaměstnanci finančních institucí. V zásadě se to ale může stát komukoliv.
Problém tkví ve dvou výchozích nastaveních WhatsApp
Slabé místo není v samotném skupinovém chatu, ale ve dvou nastaveních, která jsou na většině telefonů stále zapnutá jako výchozí:
- Kdo vás smí bez vašeho souhlasu přidat do WhatsApp skupiny
- Automatické stahování fotek, videí a dalších mediálních souborů
Malwarebytes vysvětluje, že v telefonech s Androidem existovala zranitelnost ve způsobu, jakým WhatsApp nakládá s mediálními soubory. V nově vytvořené skupině mohl útočník odeslat speciálně upravený soubor, který se díky automatickému stahování okamžitě uložil do telefonu – aniž by uživatel na cokoliv klepnul.
Takový soubor pak mohl sloužit jako vstupní bod pro útok. WhatsApp již vydal bezpečnostní aktualizaci, ale klíčové poučení zůstává v platnosti: čím méně věcí váš telefon dělá automaticky, tím menší je plocha pro případný útok.
Krok 1: Omezte, kdo vás může přidat do skupin
První obranná linie je jednoduchá – zajistěte, aby vás do skupinových chatů nemohl přidat kdokoliv. Postupujte takto:
- Otevřete WhatsApp v telefonu.
- Přejděte do Nastavení.
- Zvolte Soukromí.
- Klepněte na Skupiny.
- Změňte nastavení z Všichni na Moje kontakty nebo Moje kontakty kromě…
Volba „Moje kontakty" zabrání cizím lidem, aby vás přidali přímo. Museli by vám nejprve poslat pozvánkový odkaz, který můžete odmítnout. Možnost „Moje kontakty kromě…" navíc umožní vyloučit i konkrétní known čísla – třeba přeplněnou skupinu spolku, do které se nechcete vracet.
Kdo nechá nastavení skupin na možnosti „Všichni", nechává dveře dokořán otevřené neznámým správcům a podezřelým chatům.
Krok 2: Vypněte automatické stahování médií
Druhý důležitý krok je deaktivace automatického ukládání mediálních souborů. Ušetříte tím nejen riziko malwaru, ale také úložný prostor a mobilní data.
Jak upravit nastavení médií
Ve WhatsApp přejděte na:
- Nastavení
- Úložiště a data (nebo podobný název podle verze aplikace)
- Podívejte se na sekci Automatické stahování médií u:
- Mobilních dat
- Wi-Fi
- Roamingu
- Odškrtněte všechny možnosti u fotek, zvuku, videí i dokumentů.
Od té chvíle se vás WhatsApp u každého souboru zeptá, zda ho chcete stáhnout. Pokud vám něco přijde podezřelé, prostě neklepejte a váš telefon zůstane čistý.
| Nastavení | Výchozí riziko | Bezpečná volba |
|---|---|---|
| Kdo vás může přidat do skupin | Všichni | Moje kontakty / Moje kontakty kromě… |
| Automatické stahování médií | Fotky a někdy i videa se ukládají okamžitě | Automatické stahování vypnuto, každý soubor ručně |
| Verze aplikace | Zastaralá, se známými zranitelnostmi | Nejnovější verze z oficiálního obchodu |
WhatsApp zranitelnost opravil, ale vy zůstáváte klíčovým článkem
WhatsApp potvrdil, že oprava nahlášené zranitelnosti byla vydána. Kdo aplikaci aktualizuje přes oficiální obchod s aplikacemi, bezpečnostní záplatu obdrží automaticky. Tím je konkrétní díra zaplátována – jenže zločinci neustále hledají nové způsoby, jak zařízení zneužít.
Proto je rozumné nespoléhat se pouze na aktualizace, ale mít svá nastavení pevně pod kontrolou. Aplikace může být sebelépe zabezpečená, ale pokud automaticky přijímáte cokoliv od kohokoliv, zbytečně si sami zvyšujete riziko.
Jak poznáte podezřelou WhatsApp skupinu?
Vedle technických nastavení hraje velkou roli zdravá nedůvěra. Všímejte se zejména těchto varovných signálů:
- Přidá vás někdo, koho vůbec nebo sotva znáte.
- Název skupiny působí vágně nebo přehnaně obecně – například „Info 2024" nebo „Zprávy dnes".
- V seznamu členů se hned od začátku objevují neznámá zahraniční čísla.
- Téměř okamžitě po vytvoření skupiny někdo pošle soubor, odkaz nebo „dokument" bez jakéhokoliv vysvětlení.
- Je na vás vyvíjen tlak: „stáhni to hned", „klikni rychle" nebo „je to urgentní".
Pokud zaznamenáte tyto příznaky, skupinu okamžitě opusťte a odesílatele nahlaste nebo zablokujte. Smažte také případné soubory, které jste omylem již stáhli.
Proč by měli být obzvlášť ostražití uživatelé Androidu
Popsaná zranitelnost se týkala WhatsApp pro Android. Souvisí to se způsobem, jakým Android nakládá se soubory a oprávněními. Bezpečnostní výzkumníci obecně zaznamenávají na Androidu více problémů spojených s mediálními soubory než na iOS.
To ovšem neznamená, že uživatelé iPhonů mohou být v klidu. I tam mohou škodlivé odkazy, phishing a podvodné přílohy napáchat značné škody. Zásada zůstává stejná: nenechte svůj telefon automaticky dělat to, co by útočník uvítal.
Praktická digitální hygiena pro uživatele WhatsApp skupin
Několik jednoduchých návyků výrazně snižuje šanci, že vám skupinový chat způsobí potíže:
- Aktualizujte WhatsApp alespoň jednou měsíčně přes oficiální obchod s aplikacemi.
- Po každé aktualizaci zkontrolujte, zda nastavení soukromí a médií odpovídá vašim preferencím.
- Nezveřejňujte své telefonní číslo zbytečně na veřejných webech a sociálních sítích – ztížíte tím jeho sběr útočníky.
- Buďte obezřetní u masových „zpravodajských skupin", které se šíří dál a dál – zejména pokud se v nich hojně posílají přílohy.
- Naučte děti i starší lidi ve svém okolí, aby nikdy neklepali na náhodné soubory a odkazy.
Mnoho lidí stále vnímá WhatsApp jako bezpečný soukromý prostor, protože zprávy jsou šifrované. Šifrování sice chrání obsah před odposlechem, ale nechrání vás před chybami v aplikacích ani před tím, co sami povolíte. Skupinový chat je v jádru sbírka lidí, o nichž ne vždy víte, kdo se přesně skrývá za každým číslem.
Investicí několika minut do nastavení výrazně snížíte šanci, že zdánlivě nevinná skupinová konverzace přeroste v bezpečnostní incident. Méně automatických stahování, méně neznámých skupinových pozvánek a aktuální verze aplikace společně tvoří solidní překážku pro ty, kdo se pokoušejí dostat k vám přes WhatsApp skupiny.
