Sådan kan WhatsApp-grupper blive en indgang for hackere
Hver dag bliver tusindvis af danskere tilføjet til nye WhatsApp-grupper uden aktivt at have valgt det selv. Det lyder måske harmløst — men der ligger en reel sikkerhedsrisiko gemt i den rutine.
En helt almindelig gruppebesked med naboer, kolleger eller sportskammerater kan vise sig at være præcis det hul, en hacker har brug for. En standardindstilling i WhatsApp gør det nemlig muligt, at skadelige filer automatisk downloades til din telefon, blot fordi du er blevet tilføjet til en ny gruppe.
De fleste af os er medlemmer af adskillige WhatsApp-grupper på én gang — familie, venner, arbejdet, skolen, lokalområdet. Ofte opdager man først senere, at man er havnet i endnu en gruppe med fremmede numre og ukendte ansigter.
I det øjeblik du er tilføjet, kan alle disse ukendte personer se dit telefonnummer, dit profilbillede og muligvis din status. Det er i sig selv ubehageligt — men sikkerhedsforskere peger på et langt større problem: ondsindede aktører kan udnytte situationen til at trænge ind på din enhed.
Forskere har dokumenteret, at en nyoprettet gruppe kan misbruges til automatisk at placere en inficeret fil direkte på din telefon.
Ifølge sikkerhedsspecialister fra Google Project Zero og Malwarebytes behøver en angriber kun ét enkelt element: dit telefonnummer i sin kontaktliste. Med det kan vedkommende tilføje dig til en gruppe, der er oprettet udelukkende for at gennemføre et angreb.
Sårbarheden: automatisk download af mediefiler
Kernen i problemet er en automatisk funktion i WhatsApp. Som standard downloader appen billeder, videoer og andre mediefiler af sig selv — særligt i gruppechat.
Forskere har beskrevet en sårbarhed i Android-versionen af WhatsApp, hvor en skadelig mediefil i en nyoprettet gruppe kan downloades uden, at du overhovedet trykker på noget som helst.
En ondsindet fil i en ny gruppe kan automatisk hentes ned og derefter bruges som angrebsredskab mod dig.
I dette scenarie behøver brugeren ikke gøre noget aktivt — ingen links skal åbnes, ingen dokumenter skal klikkes på. Det er nok blot at befinde sig i gruppen, så længe automatisk download er slået til.
Hvem løber den største risiko?
Ikke alle brugere er lige attraktive mål for kriminelle. Særligt folk der arbejder med følsomme oplysninger er i farezonen:
- Ansatte i offentlige myndigheder og politiske organisationer
- Journalister og undersøgende redaktioner
- Medarbejdere i banker og større virksomheder
- IT- og sikkerhedsspecialister med adgang til interne systemer
Men alle kan i princippet blive et mål. Med nok telefonnumre kan en angriber oprette grupper i stor skala og håbe på, at der er brugbare ofre iblandt.
Hvilke indstillinger skal du ændre med det samme?
Der er to konkrete trin, der markant reducerer risikoen for misbrug: begræns hvem der må tilføje dig til grupper, og slå automatisk download af mediefiler fra.
Trin 1: Bestem hvem der må tilføje dig til en gruppe
Sådan ændrer du indstillingerne for gruppeinvitationer i WhatsApp på Android og iOS:
- Åbn WhatsApp.
- Gå til Indstillinger.
- Vælg Privatliv.
- Tryk på Grupper.
- Skift indstillingen fra Alle til Mine kontakter.
- Vil du være ekstra forsigtig, vælg Mine kontakter, undtagen… og udeluk numre du ikke stoler på.
På den måde kan tilfældige fremmede ikke længere tilføje dig direkte til en gruppe. Du vil i stedet modtage en invitation, som du selv kan takke nej til.
Trin 2: Slå automatisk download af mediefiler fra
Det andet vigtige trin er at forhindre automatiske downloads i gruppesamtaler. Gør følgende:
- Åbn WhatsApp.
- Gå til Indstillinger.
- Vælg Lager og data eller en tilsvarende mulighed.
- Under Automatisk download af medier — sæt alle til Aldrig for mobildata, wi-fi og roaming, eller fjern alle flueben.
Når du slår automatisk download fra, bestemmer du selv, hvilke filer der havner på din telefon. Det fjerner grundlaget for denne type angreb.
Fra det øjeblik skal du aktivt trykke på en fil for at downloade den. Det kræver ét ekstra tryk — men giver dig også et øjebliks pause til at tænke: stoler jeg på denne fil og afsenderen?
Har WhatsApp allerede løst problemet?
WhatsApp oplyser, at der er udsendt en sikkerhedsopdatering, som lukker sårbarheden. Den installeres via de normale appopdateringer.
Alligevel går mange brugere glip af opdateringen, fordi de ikke har automatisk opdatering slået til eller bruger en ældre Android-version. Derfor er det stadig klogt at justere dine indstillinger — selv hvis du tror, du allerede er beskyttet.
| Foranstaltning | Hvad den gør | Fordel |
|---|---|---|
| Begræns hvem der kan tilføje dig til grupper | Kun kontakter kan tilføje dig direkte | Færre mistænkelige grupper med ukendte |
| Slå automatisk download fra | Mediefiler gemmes ikke automatisk | Skadelige filer når ikke så let frem |
| Hold WhatsApp opdateret | Nyeste sikkerhedsrettelser installeres | Beskyttelse mod kendte sårbarheder |
Hvordan genkender du en mistænkelig WhatsApp-gruppe?
Ud over de tekniske foranstaltninger hjælper en sund portion skepsis. En gruppe kan vække mistanke, hvis du bemærker:
- Mange ukendte numre og få genkendelige navne
- Et vagt gruppenavn eller profilbillede
- Mange filer eller links fra ukendte afsendere med det samme
- Pres om hurtigt at klikke på noget eller downloade en fil
Ser du en kombination af disse tegn, så forlad gruppen, slet chatten og kontakt den person, der eventuelt har tilføjet dig — hvis du kender vedkommende.
Ekstra tips til at styrke dit WhatsApp-privatliv
Hvis du alligevel er i gang med indstillingerne, kan du med fordel gennemgå et par andre privatlivsvalg:
- Skjul dit profilbillede for personer, der ikke er i din kontaktliste.
- Sæt din status til kun at være synlig for kontakter eller en begrænset liste.
- Aktiver totrinsbekræftelse, så en angriber ikke bare kan kapre din konto.
Det hjælper også at være tilbageholdende med at dele dit telefonnummer i offentlige Facebook-grupper, på markedspladser eller i internetfora. Hvert sted dit nummer dukker op, bliver en potentiel kilde for angribere, der bygger lister over mål.
For organisationer, der håndterer følsomme oplysninger, er det værd at lave klare retningslinjer for brugen af WhatsApp. Ikke alle typer data hører hjemme i en kommerciel chatapp — det gælder eksempelvis medicinske oplysninger, interne dokumenter eller personalesager. Til den slags information findes der ofte bedre sikrede alternativer.
