Hvorfor WhatsApp-grupper kan udgøre et sikkerhedsproblem
Millioner af mennesker organiserer deres hverdag via WhatsApp-grupper. Familie, venner, kolleger, børnehaver, sportsklubber – de fleste er samtidig med i adskillige chats. Fotos, dokumenter, lydoptagelser og links deles i et konstant tempo.
Præcis denne gruppefunktion gør messengeren sårbar. Man havner nemlig ofte i chats, man aldrig bevidst har tilmeldt sig. En flygtig bekendt, en gammel kontakt eller blot en person, der har dit telefonnummer, kan tilføje dig uden at spørge. Pludselig kan fremmede mennesker se dit telefonnummer, dit profilbillede og ofte også din status.
Det er ikke bare et privatlivsproblem – det kan føre til spam, uønsket reklame, svindelforsøg og målrettede angreb. Forskere fra Google Project Zero og sikkerhedsfirmaet Malwarebytes har nu vist, hvordan grupper kan misbruges til særligt farlige angreb.
Sikkerhedsforskernes opdagelse: Angreb uden et eneste klik
Eksperterne forklarer, at en angriber kun behøver ofrets telefonnummer i sin kontaktliste for at starte et angreb. Med dette nummer kan vedkommende oprette en ny gruppe og tilføje offeret – selv hvis de to parter knap kender hinanden.
I sådanne nyoprettede grupper kan der sendes manipulerede filer, som automatisk downloades til Android-smartphones – helt uden at brugeren foretager sig noget som helst.
Netop denne kombination er farlig:
- En ny gruppe oprettes
- Offeret tilføjes uden forudgående samtykke
- Et manipuleret billede, en video eller et dokument sendes i chatten
- Filen gemmes automatisk i smartphonens lager
Dermed opstår der en potentiel angrebsvej. Brugeren har måske slet ikke åbnet WhatsApp aktivt, men filen ligger allerede på enheden. Afhængigt af sårbarheder i systemet eller appen kan et sådant download fungere som springbræt til yderligere angreb.
Hvad der egentlig gemmer sig bag det automatiske download
Som standard downloader WhatsApp på mange Android-enheder mediefiler fra chats automatisk – billeder, lyd, videoer og til tider også dokumenter. Formålet er at spare datatrafik, eksempelvis ved kun at tillade downloads via Wi-Fi. Men funktionen fratager brugeren en lang række beslutninger.
Automatiske downloads er praktiske – men de forskyder kontrollen fra "jeg bestemmer selv" til "appen bestemmer for mig".
I almindelige chats er det mindre synligt, men i grupper med mange ukendte deltagere ser situationen anderledes ud. Her ved ingen, hvem der gemmer sig bag hvilken profil, eller hvilke hensigter en person, der pludselig sender en fil, egentlig har.
Den sårbarhed, som forskerne har påvist, rammer primært WhatsApp på Android. Angrebet baserer sig på, at mediefiler i grupper downloades uden forespørgsel og i baggrunden er tilgængelige som en mulig angrebsvektor.
WhatsApp reagerer – men brugerne skal stadig selv handle
Messengeren udgiver har ifølge Malwarebytes udsendt en opdatering, der løser problemet. Den, der opdaterer appen jævnligt, drager fordel af denne rettelse og øvrige beskyttelsesmekanismer.
Alligevel består et problem: Standardindstillinger ændres som regel ikke med en opdatering. Har man tidligere haft generøse tilladelser, beholder man dem. Derfor anbefaler sikkerhedsforskerne to konkrete skridt i indstillingerne.
Trin 1: Hvem må tilføje dig til grupper?
Det første trin handler om at kontrollere, hvem der overhovedet kan tilføje dig til WhatsApp-grupper. Både på Android og iOS finder du den relevante indstilling under privatlivsindstillingerne i WhatsApp.
Sådan ændrer du gruppeindstillingerne
- Åbn WhatsApp
- Tryk på de tre prikker øverst til højre (Android) eller på "Indstillinger" nederst til højre (iOS)
- Vælg Privatliv
- Tryk på Grupper
- Skift fra "Alle" til indstillingen Mine kontakter
- For ekstra beskyttelse: vælg Mine kontakter undtagen … og udeluk risikable kontakter
Den, der lader "Alle" forblive aktiveret, giver fremmede adgang til sin gruppehistorik – og dermed til sit nummer og profilbillede.
Især personer med offentlige profiler, journalister, ansatte der bruger firmatelefoner, eller folk der deler deres nummer bredt i erhvervsmæssige sammenhænge, bør være stringente her. Jo færre mennesker der kan starte grupper med dig, desto mindre er risikoen.
Trin 2: Slå automatisk download af mediefiler fra
Den anden mulighed vedrører automatisk download af billeder, videoer og andre filer. Det er værd at kigge nærmere på indstillingerne for data og lagerplads.
Sådan stopper du automatisk download på Android
- Tryk igen på de tre prikker i WhatsApp
- Åbn Indstillinger
- Gå til Lager og data
- Under Download af medier automatisk kan du tjekke indstillingerne for mobildata, Wi-Fi og roaming
- Fravælg alle medietyper under alle tre punkter, eller tillad kun meget begrænsede filtyper
Fra dette tidspunkt spørger WhatsApp dig, om en fil virkelig skal downloades, når du modtager den. Først når du trykker på billedet eller dokumentet, starter overførslen – et vigtigt mellemtrin for din sikkerhed.
Ingen automatisk download betyder: Hver enkelt fil skal aktivt "godkendes" af dig – det reducerer risikoen markant.
Hvor stor er faren egentlig?
Den beskrevne sårbarhed retter sig specifikt mod nyoprettede grupper, hvor mediefiler downloades uden brugerens samtykke. Sikkerhedseksperter understreger, at særligt personer, der arbejder med følsomme data, er interessante mål – ansatte i offentlige myndigheder, virksomheder, sundhedsvæsenet eller ved forskningsinstitutioner.
Men også private brugere kan havne i søgelyset – for eksempel hvis de jævnligt deler deres nummer på brugte-varer-platforme, er aktive i offentlige foreninger eller er synlige på sociale medier. Jo bredere dit nummer cirkulerer, desto nemmere er det for angribere at få fat i dette vigtige brik.
Yderligere risici ved WhatsApp-grupper
Ud over det automatiske download byder grupper på flere angrebsflader, der ofte undervurderes:
- Misbrug af profilbillede: Fremmede kan gemme dit billede og bruge det til falske profiler eller identitetstyveri.
- Phishing-beskeder: Kriminelle forklæder links som tilsyneladende konkurrencer eller presserende systembeskeder.
- Social engineering: Over længere tid opbygger angribere tillid for at komme tættere på personlige oplysninger.
- Videredeling af data: Skærmbilleder fra gruppechats ender hurtigt uden for den oprindelige kontekst.
Den, der forbliver skeptisk over for gruppeinvitationer og betragter ukendte deltagere kritisk, reducerer disse risici væsentligt. En gruppechat med mange ukendte profiler er ikke et privat rum – selv om det kan føles sådan.
Praktiske råd til en mere sikker brug af WhatsApp
Ud over de to centrale indstillinger hjælper nogle enkle adfærdsregler i hverdagen:
- Del ikke følsomme dokumenter (ID-kort, kontrakter, helbredsoplysninger) i større grupper
- Vælg et profilbillede, der ikke afslører for meget om dit hjemsted, dine børn eller din arbejdsplads
- Skriv ikke direkte til ukendte numre i grupper
- Tjek mistænkelige links i grupper manuelt i en browser frem for at trykke direkte på dem
- Opdater WhatsApp og operativsystemet regelmæssigt
Mange brugere undervurderer, hvor værdifuldt deres telefonnummer er. Kombineret med navn, profilbillede og chathistorik dannes der en personlig profil, som svindlere kan udnytte målrettet.
Hvad "angrebsvektor" konkret betyder
Begrebet lyder teknisk, men dækker over noget meget enkelt: En fil kan være udgangspunktet for en hel kæde af manipulationer. Et manipuleret billede udnytter måske en sårbarhed i billedbehandlingen, en forberedt video angriber en bestemt decoder, og et dokument forsøger at få appen til at crashe og derved udføre fremmed kode.
Ikke enhver sådan fil fører straks til, at telefonen bryder fuldstændigt sammen. I værste fald kan en angriber dog tilgå data, læse beskeder eller nachlaste yderligere skadelig software. Jo færre ukendte filer der ukontrolleret havner på enheden, desto mindre er denne fare.
Derfor gør disse to indstillinger en ekstraordinær forskel
Mange sikkerhedstips forbliver abstrakte eller kræver komplicerede trin. De to ændringer, der er beskrevet her, er klaret på få minutter og kombinerer flere effekter på én gang:
- Antallet af uønskede grupper holdes nede
- Fremmede ser dit nummer og din profil sjældnere
- Potentielt farlige filer ligger ikke længere i lageret uden din viden
- Du bestemmer selv, hvornår en fil reelt må komme på din enhed
Især på Android-enheder, hvor brugere ofte installerer mange apps og uddeler tilladelser rundhåndet, skader et ekstra sikkerhedslag ikke. Den, der dagligt bruger WhatsApp, bør tage sig tid til disse små justeringer – de beskytter langt mere effektivt, end det umiddelbart ser ud til.
