Informações, Novidades e Empregos em Tecnologia e Concursos Públicos em TI

Plugin de segurança usado pelos bancos tem falha que permite vazamento de dados

O Warsaw, plugin de segurança utilizado por grandes bancos, como Caixa Econômica Federal, Banco do Brasil e Itaú, para dar acesso ao internet banking, tem uma brecha que permite o vazamento de informações. Ao explorar a falha, um criminoso poderia entregar um malware personalizado para induzir o correntista a fornecer dados pessoais.

caixa-modulo

A vulnerabilidade foi descoberta pelo consultor de segurança Joaquim Espinhara, que detalhou o problema no dia 19 de abril à GAS Tecnologia, empresa responsável pelo Warsaw, mas não obteve resposta. Os testes foram realizados na versão para OS X do plugin, que instala um servidor WebSocket na máquina do usuário e permite que qualquer página, inclusive maliciosa, possa fazer requisições ao software bancário.

Por meio de um código em JavaScript, que obtém informações fornecidas pelo Warsaw, um criminoso pode identificar remotamente qual é o banco utilizado pela vítima. De posse da informação, é possível desenvolver malwares sofisticados para clientes de uma instituição bancária específica. Uma das possibilidades é redirecionar o correntista para uma página que imite a do banco, como nesta prova de conceito:

 

Entre as instituições que utilizam o Warsaw como solução de segurança bancária estão o Banco do Brasil, Caixa Econômica Federal, Itaú, Safra, Banese, Sicredi, Banco do Nordeste, Banco de Brasília e Banco da Amazônia.

Não é a primeira vez que o plugin de segurança é alvo de críticas. Em abril de 2015, um bug na versão 1.5.1 do Warsaw fazia com que o acesso a sites com IPv6, como Facebook, Google, UOL e Globo.com, fossem bloqueados após a instalação do plugin. Além disso, a tecnologia é obsoleta: o NPAPI, considerado inseguro e prejudicial ao desempenho do navegador, não é mais suportado nas últimas versões do Chrome.

Fonte:

Plugin de segurança usado pelos bancos tem falha que permite vazamento de dados

http://olhardigital.uol.com.br/fique_seguro/noticia/plugin-de-seguranca-dos-bancos-permite-vazamento-de-dados-dos-internautas/58113

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s