Início » Antivírus e Segurança » Plugin de segurança usado pelos bancos tem falha que permite vazamento de dados

Plugin de segurança usado pelos bancos tem falha que permite vazamento de dados

Warsaw, que permite acesso ao internet banking do Banco do Brasil, Caixa e outros, tem brecha não corrigida

Paulo Higa Por

O Warsaw, plugin de segurança utilizado por grandes bancos, como Caixa Econômica Federal, Banco do Brasil e Itaú, para dar acesso ao internet banking, tem uma brecha que permite o vazamento de informações. Ao explorar a falha, um criminoso poderia entregar um malware personalizado para induzir o correntista a fornecer dados pessoais.

caixa-modulo

A vulnerabilidade foi descoberta pelo consultor de segurança Joaquim Espinhara, que detalhou o problema no dia 19 de abril à GAS Tecnologia, empresa responsável pelo Warsaw, mas não obteve resposta. Os testes foram realizados na versão para OS X do plugin, que instala um servidor WebSocket na máquina do usuário e permite que qualquer página, inclusive maliciosa, possa fazer requisições ao software bancário.

Por meio de um código em JavaScript, que obtém informações fornecidas pelo Warsaw, um criminoso pode identificar remotamente qual é o banco utilizado pela vítima. De posse da informação, é possível desenvolver malwares sofisticados para clientes de uma instituição bancária específica. Uma das possibilidades é redirecionar o correntista para uma página que imite a do banco, como nesta prova de conceito:

Entre as instituições que utilizam o Warsaw como solução de segurança bancária estão o Banco do Brasil, Caixa Econômica Federal, Itaú, Safra, Banese, Sicredi, Banco do Nordeste, Banco de Brasília e Banco da Amazônia.

Não é a primeira vez que o plugin de segurança é alvo de críticas. Em abril de 2015, um bug na versão 1.5.1 do Warsaw fazia com que o acesso a sites com IPv6, como Facebook, Google, UOL e Globo.com, fossem bloqueados após a instalação do plugin. Além disso, a tecnologia é obsoleta: o NPAPI, considerado inseguro e prejudicial ao desempenho do navegador, não é mais suportado nas últimas versões do Chrome.

Atualização em 7 de maio às 13h33. Em comunicado ao Tecnoblog, a GAS Tecnologia informou que o bug “já havia sido identificado pelos técnicos da empresa e a solução já foi implantada na última versão publicada do Warsaw para o sistema operacional Windows”. No plugin para Linux e OS X, o problema será corrigido na próxima versão. A empresa também ressalta que a brecha “não traz nenhuma possibilidade de invasão no computador do usuário, tanto local quanto remotamente”.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Joaquim
Francisco, blz? Explica melhor aí, vc retira as permissões ou coloca permissões para o seu usuário? Valeu.
Carlos Gustavo Machado
Bradesco está anos-luz à frente de qualquer outro banco no Brasil, pelo menos em termos de tecnologia, segurança e comodidade para os clientes.
Leonardo D Monkey
Esse lixo antes só incomodava o navegador agora fode com todo o computador , volta e meia esse processo lixo trava o acesso a arquivos , não deixa o computador reiniciar ou fazer logoff... aplicativos travam ou não acessam a internet... é só remover esse lixo que o computador volta o normal...tive que instalar máquinas virtuais para os funcionários acessarem esse lixo. Resultado computadores não deram mais problema depois de removido esse vírus maldito que chamam de plugin de segurança. **Tem que iniciar um processo coletivo contra esse filhos da pu#[email protected] só tomando algumas multas milionárias para resolverem isso.
Arthur F
Que coisa... empresa brasileira, usando tecnologia obsoleta, provocando lentidão aos computadores de milhares de usuários, utilizado por CAIXA, BB, etc., hummm, será que o maior acionista tem parentesco com um certo ex-presidente da República?
Diego F. Duarte
Banco do Brasil vc consegue validar o celular sem entrar pelo pc. Nao precisa disso...
Akira Yamamoto
Instalo numa VM da Amazon e rodo lá quando preciso
Pégaso
Usa um VM com linux (ubuntu e tantos outros) que não tá problema, faço isso no itaú (fazia até instalar o app no android).
Francisco Carvalho Venancio
Demorei a ver. Meu truque costuma ser com as permissões, tiro as permissões nas chaves de registro do serviço depois de tornar ele desativado e aí desinstalo normal. É o serviço que recoloca tudo, inclusive ele mesmo, mas como ele loga com a conta do sistema, é só tirar a permissão dela nas chaves de registro.
Rodrigo T.

Obrigado!

Rodrigo Timpani
Obrigado!
Luis Pessoa
Detalhe..."empresa também ressalta que a brecha “não traz nenhuma possibilidade de invasão no computador do usuário, tanto local quanto remotamente”."... Uma brecha sem possibilidade de invasão não é uma brecha....kkkkkkk
Luis Pessoa
Já vi a resposta: "No plugin para Linux e OS X, o problema será corrigido na próxima versão."....holly sh....
Luis Pessoa
Uma dúvida: eu utilizo este plugin mas sobre o linux, ubuntu 14.04 lts. Neste caso também estou sujeito à falha?
Andre Luis
Plugin péssimo. Ao longo dos anos já me causou diversos problemas: travamentos, lentidões, sites inacessíveis. E eu pensando que o problema era só comigo. Aí eu removia o plugin e tudo voltava a funcionar como antes. Mas até descobrir a causa como este plugin eu penava. Felizmente pude abandonar o Banco do Brasil pra não precisar mais deste plugin. Como é que conseguiram desenvolver uma coisa tão ruim assim?
Vinicius
Como eu disse, eu uso isso quando preciso de algo que não tem nos apps (o que não é muita coisa). Se eu fosse usar muito, eu usaria VM
Exibir mais comentários