Proč mohou být skupiny na WhatsApp nebezpečné
Na pozadí aplikace běží funkce, která může útočníkům výrazně usnadnit přístup k vašemu telefonu. Týká se to zejména nových skupinových konverzací, do nichž vás někdo přidá bez vašeho vědomí. Právě v takovém scénáři mohou kyberzločinci zneužít výchozí nastavení aplikace, podstrčit infikovaný soubor a proniknout hlouběji do vašeho zařízení.
Většina lidí je členem alespoň jedné skupiny na WhatsApp – rodinné, pracovní, sousedské nebo skupiny přátel. Každý den procházíme desítkami zpráv, fotek a videí. Některé skupiny zakládáme sami, do jiných nás přidají blízcí. Občas se ale ocitneme ve skupině téměř náhodou.
V praxi to vypadá takto: někdo, kdo má vaše číslo, vytvoří novou skupinovou konverzaci a přidá do ní několik lidí. Najednou vidíte dlouhé vlákno, cizí jména a čísla – a váš telefon, včetně profilové fotky a statusu, se stane viditelným pro lidi, které vůbec neznáte.
Taková situace není jen malou nepříjemností. Jde o ideální prostředí pro zneužití: od agresivního marketingu přes pokusy o podvody až po využití vašich dat při dalších útocích. A k tomu přistupuje ještě jedno výchozí nastavení, které dveře útočníkům otevírá ještě více.
Výzkumníci z Google a Malwarebytes varují před zranitelností
Experti z týmu Project Zero společnosti Google a odborníci z firmy Malwarebytes upozornili na konkrétní útočný scénář. Kyberzločinci potřebují pouze jeden kontakt oběti, aby ji mohli přidat do nově vytvořené skupiny. Pokud mají k dispozici seznam potenciálních cílů, lze tento postup relativně snadno opakovat ve velkém měřítku.
Nejohroženější jsou lidé, kteří každodenně pracují s citlivými informacemi: zaměstnanci veřejné správy, technologických firem, finančních oddělení, lékaři nebo právníci. Právě na ně útočníci cílí nejraději, protože potenciální zisk je mnohem vyšší než u běžných uživatelů.
Výzkumníci popsali zranitelnost ve WhatsApp pro Android, která umožňovala automatické stažení škodlivého multimediálního souboru odeslaného do nově vytvořené skupiny a jeho využití jako prostředku útoku.
Klíčový problém nespočívá v nějakém spektakulárním průniku do celé aplikace. Jde o kombinaci několika prvků: slabého nastavení soukromí skupin, automatického stahování souborů a skutečnosti, že nová skupina může vzniknout zcela bez vašeho předchozího souhlasu.
Výchozí nastavení, které byste měli okamžitě změnit
Kdo vás může přidat do skupiny
WhatsApp umožňuje řídit, kdo má právo přidávat vás do nových skupinových konverzací. Problém je, že část uživatelů ponechává nastavenou nejotevřenější možnost. To usnadňuje život nejen přátelům, ale i lidem, kteří chtějí shromáždit co nejvíce čísel na jednom místě.
Aby k takovým situacím nedocházelo, lze v nastavení soukromí určit, že do nové skupiny vás mohou přidat pouze uložené kontakty – a v případě potřeby dokonce vyloučit konkrétní čísla.
Automatické stahování fotek a videí
Druhým kritickým bodem je automatické ukládání multimediálních souborů. Na mnoha telefonech WhatsApp po instalaci automaticky stahuje fotky, videa i dokumenty z konverzací, včetně skupinových. Pro uživatele je to pohodlné, protože se vše „prostě uloží" – jenže právě tuto pohodlnost se kyberzločinci snaží využít.
Infikovaný soubor, který se stáhne bez jakékoli akce uživatele, dává útočníkovi výraznou výhodu – oběť ani netuší, že se něco dostalo do jejího telefonu.
Podle informací společnosti Malwarebytes se zranitelnost týkala aplikace WhatsApp pro Android. Firma zdůrazňuje, že chyba umožňovala automatické stahování souborů ve skupinách, což v kombinaci s nepozorností uživatelů představovalo nebezpečnou kombinaci.
Jak změnit nastavení WhatsApp a snížit riziko
Pár minut strávených v nastavení aplikace dokáže výrazně omezit prostor pro útočníky. Nejdůležitější kroky, které byste měli provést co nejdříve:
- Omezení toho, kdo vás může přidávat do skupin.
- Vypnutí automatického stahování multimédií.
- Pravidelná aktualizace aplikace na nejnovější verzi.
Krok 1: změňte pravidla pro přidávání do skupin
V aplikaci na telefonu s Androidem nebo iOS přejděte do nastavení soukromí a vyhledejte možnost správy skupin. Standardně jsou k dispozici tři varianty:
| Nastavení | Co znamená | Úroveň zabezpečení |
|---|---|---|
| Všichni | Kdokoli, kdo má vaše číslo, vás může přidat do skupiny bez ptaní. | Nízká |
| Moje kontakty | Pouze uložená čísla z adresáře mají tuto možnost. | Střední |
| Moje kontakty kromě… | Můžete zablokovat vybrané osoby, které vás nebudou moci přidat. | Vyšší |
Nejrozumnější volbou je možnost „Moje kontakty", případně doplněná o vyloučení čísel, která skupiny zneužívají. Díky tomu se mnohem hůře dostanete do náhodných chatů s lidmi mimo váš okruh.
Krok 2: vypněte automatické stahování multimédií
Dalším krokem je změna nastavení souborů. V nabídce správy dat lze automatické stahování zcela vypnout nebo omezit pouze na určité typy připojení.
V praxi je nejbezpečnější model následující: nic se nestahuje automaticky a fotky či dokumenty ukládáte ručně, jen když je skutečně potřebujete. Chce to chvilku zvykání, ale výrazně se tím snižuje šance, že se škodlivý soubor nepozorovaně dostane do paměti vašeho telefonu.
Aktualizace WhatsApp jsou také důležité
Tvůrci aplikace oznámili, že popsanou zranitelnost opravili a vydali příslušnou záplatu. Nejnovější verze aplikace tedy obsahují dodatečné zabezpečení. Jenže samotná oprava nepomůže, pokud uživatel WhatsApp několik měsíců neaktualizuje.
Vyplatí se proto čas od času zkontrolovat v obchodě Google Play nebo App Store, zda je dostupná nová verze aplikace. Zapnutí automatických aktualizací je dobrý návyk, zvláště u aplikací, které mají přístup k vašim konverzacím, fotkám, seznamu kontaktů a mikrofonu.
Co dalšího můžete udělat pro bezpečnější skupiny
Ani ta nejlépe nastavená aplikace za vás nevyřeší všechno. Ve skupinách stále kolují falešné soutěže, odkazy na nelegální přenosy, „super akce" a další typické návnady. Bez ohledu na to, zda zrovna nějaká softwarová zranitelnost existuje nebo byla opravena, zdravý rozum zůstává poslední linií obrany.
Vyplatí se například:
- Neklikat na odkazy, které vypadají podezřele nebo je posílá někdo, koho dobře neznáme.
- Nesdílet ve skupinách rodné číslo, skeny dokumentů ani přihlašovací údaje.
- Reagovat, když se ve skupině objeví spam nebo někdo naléhavě žádá o osobní údaje.
- Vypnout oznámení nebo opustit skupiny, ve kterých se cítíme nepříjemně.
Dobrým nápadem je také pravidelně procházet seznam skupin, ve kterých se nacházíte. Mnoho starých konverzací lze jednoduše opustit. Méně skupin znamená méně kanálů, přes které se někdo může pokusit dostat k vám s infikovaným souborem nebo pokusem o podvod.
Pro lidi, kteří WhatsApp využívají pracovně, je situace ještě závažnější. Jeden neopatrně otevřený soubor na služebním telefonu může ohrozit celou firmu, zvláště pokud jsou k němu připojeny další účty a nástroje. V takových případech se vyplatí nastavit firemní pravidla pro používání komunikátorů, srozumitelně vysvětlit zaměstnancům zásady bezpečnosti a pravidelně je připomínat.
