WhatsApp-grupper kan gøre din telefon sårbar – tjek denne auto-indstilling nu

Millioner af WhatsApp-brugere er ikke klar over, at en uanselig standardindstilling åbner deres smartphone for angreb via gruppesamtaler.

Gruppechats er for mange blevet en fast del af hverdagen: familien, fodboldholdet, forældregrupperne, kollegerne. Og det er præcis denne bekvemmelighed, som en sikkerhedssårbarhed udnytter – en sårbarhed, som eksperter fra Google Project Zero og sikkerhedsfirmaet Malwarebytes har beskrevet indgående. Den der ikke justerer sine standardindstillinger, gør det markant lettere for angribere at installere skadelig software på telefonen.

Sådan bliver WhatsApp-grupper en bagdør for angribere

De fleste af os er med i adskillige WhatsApp-grupper. Nogle har vi selv oprettet, andre er vi bare blevet tilføjet til – af nære kontakter, fjerne bekendte eller folk, vi næsten ikke kan huske.

Det er netop her problemet begynder. For at en angriber kan tage nogen i kikkerten, behøver vedkommende ifølge forskerne fra Project Zero i princippet kun et gyldigt telefonnummer på sit mål. Med dette nummer kan der oprettes en ny gruppechat, som målet havner i – ofte uden at bemærke det med det samme.

En enkelt ny gruppechat kan være nok til at gemme et manipuleret billede, en video eller et dokument automatisk på din telefon – helt uden at du klikker på noget.

Sådan en chat ser harmløs ud: et ligegyldigt navn, et par ukendte deltagere, måske en velkomstbesked. Men gemt mellem de første beskeder kan der ligge en fil, der er specialfremstillet til at udnytte en sikkerhedssårbarhed i systemet eller i WhatsApp selv.

Den farlige kombination: gruppeinvitation og automatisk download

Problemets kerne er ikke udelukkende gruppen. Det opstår i samspil med en forudindstilling, der er aktiv hos rigtig mange brugere: automatisk download af mediefiler.

Sikkerhedsforskere beskriver et scenarie, hvor en angriber:

• tilføjer en person med et kendt telefonnummer til en nyoprettet gruppe,
• sender en særligt tilrettelagt fil (billede, video eller dokument) i gruppen,
• og regner med, at WhatsApp automatisk downloader filen i baggrunden.

Enheder med Android er særligt udsatte, da automatisk lagring af mediefiler i gruppechats er udbredt her. Afhængigt af enhed og systemversion ender filer direkte i telefonens lokale lager – og i visse tilfælde med adgang for andre apps.

Hvad angribere teoretisk set kan udnytte

Det beskrevne angreb er ikke nødvendigvis rettet mod alle brugere. Det er primært personer med følsomme data, der er interessante mål: journalister, politikere, ansatte i virksomheder eller offentlige myndigheder. Men ingen ved med sikkerhed, om de optræder på en angribers liste.

Lykkes det at udnytte en sårbarhed, kan angribere alt efter hullets karakter forsøge at:

• læse yderligere data fra lageret,
• stjæle adgangstokens eller cookies,
• angribe andre apps, der anvender de samme lagerområder,
• eller bruge enheden som springbræt til yderligere angreb.

Mange af disse scenarier er teknisk komplicerede, men sikkerhedsforskere understreger: indsatsen betaler sig set fra professionelle angriberes vinkel, hvis det giver adgang til eftertragtede oplysninger.

Tre indstillinger du bør ændre med det samme

Den gode nyhed er, at du med få klik kan reducere risikoen betydeligt. Det handler primært om to ting: hvem der må invitere dig til grupper, og hvad WhatsApp downloader automatisk.

1. Hvem må tilføje dig til grupper?

Som standard kan alle andre brugere med dit nummer som regel oprette gruppechats, som du direkte havner i. Sådan begrænser du det:

• Åbn WhatsApp.
• Tryk på de tre prikker øverst til højre og vælg Indstillinger.
• Tryk på Privatliv.
• Vælg punktet Grupper.
• Skift indstillingen fra "Alle" til "Mine kontakter".
• Den der vil være ekstra forsigtig, bruger "Mine kontakter undtagen …" og udelukker bestemte numre.

Den der begrænser gruppeadgangen, bestemmer selv, hvem der må trække dem ind i fremmede chats – en meget effektiv beskyttelse med blot få klik.

2. Deaktiver automatisk download af mediefiler

Den anden løftestang findes i data- og lagerindstillingerne, hvor WhatsApp bestemmer, hvad der downloades i baggrunden.

Sådan ændrer du auto-download-indstillingerne på Android:

• Gå til Indstillinger i WhatsApp.
• Vælg Lager og data.
• Under "Ved mobilforbindelse", "Ved Wi-Fi-forbindelse" og "Ved roaming" fjernes alle flueben ved billeder, lyd, videoer og dokumenter.
• Filerne vil stadig vises i chatten, men downloades først, når du trykker på dem.

På iPhones hedder menupunkterne lidt anderledes, men princippet er det samme: begræns automatiske downloads konsekvent.

3. Hold WhatsApp og styresystem opdateret

WhatsApp har ifølge sikkerhedsforskerne udgivet en opdatering, der adresserer den konkret beskrevne sårbarhed. Alligevel forbliver lignende angrebsveje interessante, så længe der eksisterer huller i apps og systemer.

Det kan derfor betale sig regelmæssigt at tjekke:

• Om der ligger en opdatering til WhatsApp i App Store eller Play Store.
• Om styresystemet viser et aktuelt sikkerhedspatch-niveau.
• Om gamle apps, man ikke længere bruger, kan afinstalleres.

Privatliv i grupper: mere end bare et teknisk problem

Den beskrevne sårbarhed sætter også fokus på noget, mange undervurderer: synlighed i gruppechat. Når man trækkes ind i fuldstændig fremmede grupper, eksponerer man automatisk sit telefonnummer, profilbillede og ofte også sin info-tekst – for mennesker man aldrig har mødt.

Ud fra disse data kan der opbygges kontaktlister, som efterfølgende bruges til spam, svindelforsøg eller målrettede social engineering-angreb. Phishing via WhatsApp, falske pakkemeddelelser eller formodede nødsituationer fra "slægtninge" med nyt nummer baserer sig ofte på præcis sådanne datapuljer.

Sådan bruger du WhatsApp mere sikkert generelt

Den aktuelle sag handler ganske vist om grupper og mediedownloads, men den passer ind i et større billede: messengers er blevet den centrale kommunikationskanal – og dermed et attraktivt mål.

Et par yderligere, hverdagsvenlige tiltag hæver sikkerhedsniveauet markant:

• Aktiver to-trins-bekræftelse i WhatsApp: Under Indstillinger og Konto finder du muligheden Totrinsbekræftelse. Det forhindrer, at nogen registrerer din konto på en anden enhed.
• Begræns profildata: Under Privatliv kan du bestemme, hvem der må se profilbillede, info og status. "Mine kontakter" er som regel et godt valg.
• Vær opmærksom på gruppenavne: Nye grupper med generiske navne eller få bekendte bør undersøges kritisk – forlad dem i tvivlstilfælde straks.
• Vær skeptisk over for filer og links: Selv når de tilsyneladende kommer fra kendte kontakter. Konti kan være overtaget.

Derfor er auto-download så lumsk

Automatiske mediedownloads virker praktiske: billeder af børnene, foreningsinformation, arbejdsdokumenter – alt lander i lageret uden at man gør noget. Det er præcis denne bekvemmelighed, der gør funktionen farlig, når den møder sikkerhedssårbarheder.

Set fra en angribers synspunkt er det ideelt: ofrene behøver ikke aktivt at trykke på "Download". Det er nok, at appen roligt arbejder i baggrunden. Jo mindre brugeren opdager, jo sværere er det at identificere usædvanlig adfærd – som en langsomt reagerende skærm eller et lager, der pludselig svinder ind.

Den der udløser downloads manuelt, genvinder kontrollen. Hver fil kræver et bevidst tryk. Det koster et par sekunder mere i hverdagen, men reducerer risikoen markant – særligt i grupper, hvor man ikke kender alle deltagere.

Konklusion: tjek indstillingerne og sænk risikoen

WhatsApp er for mange uundværligt. Desto mere fornuftigt er det at bruge alle de justeringsmuligheder, der mindsker angrebsfladen. To ændringer giver den største effekt: begræns gruppeinvitationer og slå auto-download fra.

Den der tager disse skridt, kombinerer teknisk beskyttelse med en sundere skepsis over for fremmede grupper. Angreb via manipulerede mediefiler bliver dermed ikke umulige, men betydeligt sværere – og det er præcis, hvad personlig internetsikkerhed handler om.