Plugin de segurança de bancos apresenta falha grave
Plugin de segurança de bancos apresenta falha grave que permite que dados de clientes sejam capturados e utilizados por criminosos. Veja os detalhes aqui.
[ad#texto]
Em 2014 nós já avisamos que o plugin bancário que serve para garantir a segurança da comunicação via internet banking apresentava atitudes mais que suspeitas e agora o plugin de segurança de bancos apresenta falha grave que pode resultar em roubos de informações, o que levando em conta um ambiente bancário é o pior cenário que pode existir.
A GAS Tecnologia que é a responsável por este plugin, que atende a grande maioria dos bancos, alega que a presente falha de segurança já foi corrigida para o ambiente Windows e que os ambientes Linux e OSX serão atualizados em breve, mas será que o problema é somente este?
Plugin de segurança de bancos apresenta falha grave: o plugin
O plugin ainda utiliza o NAPI para ser executado pelo browser, a princípio este plugin deveria apenas garantir a segurança da comunicação com a entidade bancária, porém ele é instalado como uma espécie de interface entre o sistema operacional e a placa de rede e com isso todo tipo de conexão é filtrado e monitorado.
Não é claro para onde vão estas informações, mas é certo que quando um usuário que possui o plugin instalado acessa um link qualquer metadados são enviados para servidores externos e podem ficar armazenados traçando um perfil completo deste usuário pela GAS Tecnologia ou pela própria entidade financeira.
Não é fácil remover o plugin, ele sequer deixa ser desabilitado pelo browser e espalha diversas entradas pelo registro (no caso do Windows) e diversos arquivos pelo computador.
Plugin de segurança de bancos apresenta falha grave: a falha
A falha de segurança permite que um invasor capture informações do cliente bancário e com isso possa entregar um malware personalizado para empreender algum tipo de ataque ou roubo mais sofisticado.
Inclusive é possível realizar ataques de phishing scan com páginas falsas de entidades bancárias, tudo isso com a validação do plugin.
Como é de costume a GAS Tecnologia nega que tal falha possa de fato comprometer a integridade dos dados do usuário, porém existem testes de prova de conceito comprovando a gravidade da falha de segurança.