WhatsApp wprowadza „Strict Account Settings” – tryb lockdown, który ogranicza wektory ataku i utrudnia kampanie spyware

Wprowadzenie do problemu / definicja luki

W ostatnich latach ataki na komunikatory przesunęły się z masowego phishingu w stronę precyzyjnie targetowanych kampanii: zero-click, spyware klasy „mercenary”, socjotechnika z wykorzystaniem załączników oraz nadużycia mechanizmów prywatności (np. widoczność profilu, link previews). WhatsApp – mimo domyślnego szyfrowania end-to-end – stał się atrakcyjnym celem właśnie dlatego, iż jest powszechny wśród dziennikarzy, aktywistów i osób publicznych.

Odpowiedzią jest nowa funkcja Strict Account Settings (tryb „lockdown-style”), która jednym przełącznikiem ustawia konto na najbardziej restrykcyjne, bezpieczne konfiguracje i ogranicza część funkcji, aby zmniejszyć powierzchnię ataku.

W skrócie

• Nazwa funkcji: Strict Account Settings (ustawienia „ściśle restrykcyjne”).
• Dla kogo: osoby o podwyższonym ryzyku (np. dziennikarze, osoby publiczne), ale dostępne szerzej.
• Co robi: automatycznie blokuje/ogranicza typowe wektory nadużyć (załączniki od nieznanych, połączenia od nieznanych, podglądy linków, ekspozycja profilu itd.), w tym włącza 2-etapową weryfikację i powiadomienia bezpieczeństwa.
• Jak włączyć: Ustawienia → Prywatność → Zaawansowane → Strict account settings; zmiana tylko z urządzenia głównego.
• Wdrażanie: rollout stopniowy „w nadchodzących tygodniach”.

Kontekst / historia / powiązania

Rynek narzędzi spyware (w tym narzędzi wykorzystywanych przez podmioty państwowe i firmy „mercenary”) premiuje wektory, które nie wymagają interakcji użytkownika albo wymagają jej minimalnie. Dlatego ograniczanie funkcji takich jak automatyczne przyjmowanie multimediów/załączników, podglądy linków czy połączenia od nieznanych nie jest „paranoją” – to redukcja ekspozycji na łańcuchy exploitów i socjotechnikę.

BleepingComputer wskazuje, iż WhatsApp w przeszłości łatał zero-daye wykorzystywane w atakach targetowanych, a nowa funkcja ma pomóc szczególnie tym, którzy realnie mogą być celem takich kampanii.
Dodatkowo Reuters zwraca uwagę na szerszy trend branżowy: rozwiązania typu „lockdown” jako kompromis funkcjonalności na rzecz bezpieczeństwa.

Analiza techniczna / szczegóły funkcji

Strict Account Settings to w praktyce „pakiet polityk bezpieczeństwa” spinany jednym przełącznikiem. Z opisu WhatsApp/Meta i relacji mediów wynika, iż po włączeniu funkcja m.in.:

1. Blokuje załączniki i media od nadawców spoza kontaktów
   To kluczowe, bo redukuje ryzyko dostarczenia złośliwego pliku lub elementu wywołującego podatność w parserze multimediów.
2. Wycisza połączenia od nieznanych numerów
   Ogranicza nękanie, vishing i próby wymuszenia interakcji; zmniejsza też ryzyko nadużyć związanych z metadanymi połączeń.
3. Wyłącza podglądy linków (link previews)
   Link preview to dodatkowe zapytania sieciowe i przetwarzanie treści – potencjalne miejsce na nadużycia. Wyłączenie zmniejsza „automatyczne” zachowanie aplikacji.
4. Włącza i „usztywnia” mechanizmy tożsamości i integralności
   Według opisu TechCrunch/BleepingComputer, tryb automatycznie włącza weryfikację dwuetapową oraz powiadomienia bezpieczeństwa (np. o zmianach kodów bezpieczeństwa w rozmowie), co ułatwia wykrycie przejęć konta i ataków typu MITM na poziomie rejestracji/urządzeń.
5. Uszczelnia ekspozycję profilu i obecności
   Wskazywane są restrykcje typu: „Last seen/Online”, zdjęcie profilowe, „About” i linki profilu widoczne tylko dla kontaktów, plus dodatkowe limity dla nieznanych rozmów.
6. Ogranicza spam/zalew wiadomości od nieznanych
   TechCrunch opisuje automatyczne włączenie ustawień blokujących wysokie wolumeny wiadomości od nieznanych kont.
7. Zmiana tylko z urządzenia głównego (primary device)
   To istotne operacyjnie: ogranicza scenariusz, w którym atakujący zyskuje dostęp do sesji web/desktop i próbuje „po cichu” przestawić polityki konta.

Warto też odnotować wątek „behind the scenes”: WhatsApp komunikuje inwestycje w Rust jako element ograniczania ryzyk związanych z bezpieczeństwem pamięci w komponentach przetwarzających media (częsty obszar eksploatacji przez spyware).

Praktyczne konsekwencje / ryzyko

Plusy (bezpieczeństwo):

• wyraźne zmniejszenie powierzchni ataku na ścieżkach: unknown sender → media/attachment → parsing → exploit;
• mniejsza podatność na presję socjotechniczną (połączenia od nieznanych, „pilne” linki z podglądem);
• szybsze „utwardzenie” konta dla osób, które nie chcą manualnie grzebać w kilkunastu ustawieniach.

Minusy (użyteczność / UX):

• realne ograniczenia komunikacji z osobami spoza kontaktów (np. brak mediów/załączników);
• mniej „wygody” (podglądy linków, interakcje z nieznanymi);
• możliwe tarcia w środowiskach, gdzie naturalnie pracuje się z nowymi numerami (redakcje, helpdeski, wolontariaty).

To dokładnie ten sam kompromis, jaki branża zaakceptowała w trybach „lockdown”: funkcjonalność w dół, odporność na ataki w górę.

Rekomendacje operacyjne / co zrobić teraz

Jeśli jesteś w grupie podwyższonego ryzyka (media, NGO, osoby publiczne, administracja, prawnicy w sprawach wrażliwych):

1. Włącz Strict Account Settings (gdy pojawi się na koncie): Ustawienia → Prywatność → Zaawansowane.
2. Upewnij się, iż 2FA jest aktywne i masz bezpiecznie zapisany PIN (menedżer haseł).
3. Przejrzyj listę urządzeń/sesji połączonych i usuń nieużywane.
4. W organizacji: dodaj do procedur „onboarding bezpieczeństwa” dla nowych pracowników (checklista ustawień, kanał zgłaszania incydentów).
5. Zasada operacyjna: o ile ktoś spoza kontaktów „musi” wysłać plik — przenieś wymianę na kontrolowany kanał (SFTP/portal, albo najpierw dodaj kontakt i potwierdź tożsamość innym kanałem).

Jeśli jesteś „zwykłym” użytkownikiem:

• Rozważ Strict Account Settings, jeżeli dostajesz dużo spamu/niechcianych kontaktów lub podróżujesz/zmieniasz otoczenie (konferencje, protesty, praca terenowa). Meta/WhatsApp podkreślają jednak, iż tryb jest projektowany głównie dla „nielicznych” realnie targetowanych.
• Niezależnie od trybu: aktualizuj aplikację i system, nie otwieraj załączników od nieznanych, trzymaj 2FA włączone.

Różnice / porównania z innymi przypadkami

WhatsApp Strict Account Settings vs Apple Lockdown Mode
Lockdown Mode (Apple, od 2022) to „ekstremalna ochrona” obejmująca m.in. ograniczenia załączników i link previews, oraz restrykcje połączeń i usług – filozofia jest zbliżona: zabieramy funkcje, żeby zabrać wektory ataku.

WhatsApp Strict Account Settings vs Android Advanced Protection Mode
Reuters opisuje, iż Android oferuje tryb ochrony dla użytkowników o „podwyższonej świadomości bezpieczeństwa”, m.in. poprzez ograniczanie ryzykownych instalacji. WhatsApp przenosi tę ideę na warstwę komunikatora: ochrona w miejscu, gdzie najczęściej zaczyna się interakcja atakującego z ofiarą.

Wniosek: idziemy w stronę „bezpieczeństwa jako profilu”, a nie zestawu rozsypanych opcji w menu.

Podsumowanie / najważniejsze wnioski

Strict Account Settings to sensowny, praktyczny krok: zamiast liczyć, iż użytkownik sam „złoży” bezpieczny profil z wielu ustawień, WhatsApp daje gotowy tryb „lockdown”, który obcina najbardziej ryzykowne kanały wejścia (nieznane media/załączniki, połączenia, podglądy linków) i domyka prywatność profilu.

Największą wartość zobaczą osoby realnie narażone na kampanie spyware i ataki targetowane. Dla reszty to przez cały czas przydatny „panic switch” na okresy podwyższonego ryzyka.

Źródła / bibliografia

• WhatsApp Blog – „WhatsApp’s Latest Privacy Protection: Strict Account Settings” (27 stycznia 2026). (WhatsApp.com)
• Meta Newsroom – „WhatsApp Strict Account Settings: Safeguarding Against Cyber Attacks”. (Facebook)
• TechCrunch – szczegóły ustawień (2FA, link previews, ograniczenia profilu/grup, primary device). (TechCrunch)
• BleepingComputer – kontekst zagrożeń, lista restrykcji i tło spyware/zero-day. (BleepingComputer)
• Reuters – porównanie z Apple Lockdown Mode i Android Advanced Protection Mode, komentarz ekspercki. (Reuters)