Sådan bliver gruppechat på WhatsApp en sikkerhedsrisiko
Forskere advarer om, at en automatisk funktion i WhatsApp gør det nemmere for kriminelle at trænge ind via gruppesamtaler. Det handler ikke om avancerede filmhacks – men om en kombination af genkendelige daglige vaner og en uhensigtsmæssig standardindstilling i appen.
Du er sandsynligvis i alt for mange grupper
De fleste WhatsApp-brugere er hurtigt havnet i adskillige grupper på én gang: familie, sportshold, nabolag, arbejde, skole, fødselsdage. Ofte opstår en ny gruppe pludseligt, oprettet af nogen der blot har dit nummer. Før du når at reagere, er dit telefonnummer havnet blandt snesevis af fremmede.
I sådan en gruppe kan andre se langt mere end dit navn. Afhængigt af dine indstillinger kan fremmede få adgang til:
- dit telefonnummer
- dit profilbillede
- din statuslinje
- din onlineadfærd i chatten
Det giver ondsindede personer mulighed for at opbygge en profil om dig. De kan målrettet forsøge at phishe dig, kontakte dig via andre apps eller sælge dit nummer videre til reklamenetværk og svindelorganisationer.
Sikkerhedseksperter: gruppechat som udgangspunkt for angreb
Sikkerhedsforskere fra Googles Project Zero og cybersikkerhedsvirksomheden Malwarebytes beskriver et scenarie, hvor en angriber først har brug for dit nummer. Med det nummer kan vedkommende tilføje dig til en ny gruppesamtale.
Når du befinder dig i gruppen, kan angrebet begynde. Gerningsmanden sender en tilsyneladende harmløs mediefil, for eksempel:
- et billede (f.eks. "gruppefoto1.jpg")
- en video ("fest.mp4")
- et lydfragment ("besked.m4a")
Ifølge Malwarebytes lå der en sårbarhed i WhatsApp til Android, som betød, at sådan en fil automatisk blev downloadet og i visse tilfælde kunne misbruges som et angrebspunkt – uden at du klikkede på noget som helst.
Kerneproblemet er ikke ét stort datalæk, men en standardindstilling der automatisk henter mediefiler ind, så snart de dukker op i en gruppechat.
Den afgørende indstilling: automatisk download af medier
WhatsApp er kendt for at downloade billeder og videoer med det samme, så du hurtigt kan se dem. Det føles praktisk – men denne bekvemmelighed skaber samtidig plads til misbrug i nye gruppesamtaler.
Hvad der præcist kan gå galt
Hvis nogen tilføjer dig til en ny gruppe og straks sender en ondsindet fil, sker følgende:
- Din enhed henter automatisk filen, fordi appen er indstillet til det.
- Filen lander på din telefon, nogle gange direkte i dit galleri.
- Afhængigt af sårbarheden i den anvendte app-version kan filen misbruges til at skaffe yderligere adgang eller tilgå dine data.
Den sårbarhed, forskerne peger på, gælder WhatsApp på Android. iPhone-brugere løber i dette specifikke tilfælde en mindre risiko, men bør stadig stramme op på deres indstillinger. Automatisk download af uønskede filer er aldrig en god idé.
Sådan gør du dine WhatsApp-grupper markant mere sikre
Med to justeringer i WhatsApp reducerer du risikoen betydeligt: du bestemmer, hvem der må tilføje dig til grupper, og du forhindrer automatisk download af billeder og videoer.
1. Begræns hvem der kan tilføje dig til grupper
Gå til WhatsApps indstillinger på din telefon og gennemgå privatlivsmulighederne. Under afsnittet om grupper fjerner du markeringen ved "Alle" og vælger i stedet:
- "Mine kontakter" – kun folk du selv har i din adressebog kan bare tilføje dig til en gruppe.
- "Mine kontakter, undtagen…" – nyttigt hvis du vil udelukke bestemte arbejdskontakter eller en specifik person.
Ved at begrænse gruppetilladelsen fjerner du allerede en stor del af støjen og potentielle spam-grupper på forhånd.
2. Slå automatisk download af medier fra
Den anden risiko ligger i lagringsindstillingerne. Tjek under menuen "Lager og data", hvordan mediefiler hentes ind på din enhed.
Indstil under mobildata, wifi og roaming, at billeder, videoer og dokumenter ikke længere downloades automatisk. Markér kun de filtyper, du virkelig ønsker hentet automatisk – eller slå det hele fra og vælg bevidst for hver enkelt fil.
| Indstilling | Sikkert valg |
|---|---|
| Ved brug af mobildata | Ingen medier downloades automatisk |
| Ved brug af wifi | Kun billeder eller slå helt fra |
| Ved roaming | Altid fra, ingen automatisk download |
På den måde afgør du selv for hvert enkelt besked, om du stoler på en fil. Det ekstra tryk på skærmen tager et sekund, men forhindrer, at filer usynligt lander på din enhed.
Opdater din WhatsApp-app med det samme
WhatsApp oplyser, at der er rullet en sikkerhedsopdatering ud, som lukker den opdagede sårbarhed. Kun brugere med en nyere version af appen har gavn af den.
Tjek derfor i app-butikken på din telefon, om der ligger en opdatering klar. Slå automatiske opdateringer til, hvis du ikke ønsker at opdatere manuelt hver gang. Mange lader apps forælde i månedsvis og risikerer dermed unødvendigt at mangle sikkerhedsrettelser.
En opdateret app, strammere privatlivsindstillinger og ingen automatiske downloads udgør tilsammen et solidt forsvar mod denne type angreb.
Hvorfor kriminelle er så begejstrede for dit WhatsApp-nummer
Dit telefonnummer virker måske harmløst, men for digitale kriminelle er det ofte den perfekte nøgle. Med bare et nummer kan de:
- kontakte dig via sms eller andre apps med falske links eller betalingsanmodninger
- koble dig til andre lækkede databaser på nettet
- udgive sig for at være en bekendt af dig i en gruppechat
- sælge dit nummer videre til opkalds- og spamlister
Kombineret med dit profilbillede og din statuslinje dannes et billede af, hvem du er, hvem du omgås, og hvilken region du bor i. Det gør målrettet svindel langt mere troværdig.
Praktiske vaner du kan indføre med det samme
Ud over at ændre indstillinger hjælper et par enkle rutiner dig til at færdes mere sikkert i WhatsApp-grupper:
- Forlad grupper, hvor du ikke kender nogen, eller som føles mærkelige.
- Klik ikke på links, der deles af fremmede i en gruppe.
- Download ikke filer fra personer du ikke stoler på – heller ikke selvom andre i gruppen allerede har åbnet dem.
- Brug et neutralt profilbillede, hvis du er med i mange åbne grupper.
- Sæt din sidst set-status og onlinestatus til kun at være synlig for kontakter.
For mennesker der arbejder med følsomme oplysninger – f.eks. inden for sundhedsvæsenet, journalistik, den offentlige sektor eller finansverdenen – betaler det sig at være ekstra forsigtig. En ondsindet aktør, der lykkes med at lokke en sådan person ind i en WhatsApp-gruppe, kan målrettet forsøge at skaffe adgang til vedkommendes enhed via en tilsyneladende uskyldig fil.
Selv den der tror, de ikke har noget privat at skjule, undervurderer ofte det kommercielle aspekt. Reklamenetværk, lyssky mellemmænd og spamorganisationer indsamler i stor stil telefonnumre, adfærdsdata og kontaktnetværk. En uskyldig gruppechat kan således vokse sig til en ny kilde for disse dataindsamlinger.
