Plugin de segurança de bancos apresenta falha grave

Plugin de segurança de bancos apresenta falha grave que permite que dados de clientes sejam capturados e utilizados por criminosos. Veja os detalhes aqui.

[ad#texto]

Plugin de segurança de bancos apresenta falha grave
Plugin de segurança de bancos apresenta falha grave

Em 2014 nós já avisamos que o plugin bancário que serve para garantir a segurança da comunicação via internet banking apresentava atitudes mais que suspeitas e agora o plugin de segurança de bancos apresenta falha grave que pode resultar em roubos de informações, o que levando em conta um ambiente bancário é o pior cenário que pode existir.

A GAS Tecnologia que é a responsável por este plugin, que atende a grande maioria dos bancos, alega que a presente falha de segurança já foi corrigida para o ambiente Windows e que os ambientes Linux e OSX serão atualizados em breve, mas será que o problema é somente este?

Plugin de segurança de bancos apresenta falha grave: o plugin

O plugin ainda utiliza o NAPI para ser executado pelo browser, a princípio este plugin deveria apenas garantir a segurança da comunicação com a entidade bancária, porém ele é instalado como uma espécie de interface entre o sistema operacional e a placa de rede e com isso todo tipo de conexão é filtrado e monitorado.

Não é claro para onde vão estas informações, mas é certo que quando um usuário que possui o plugin instalado acessa um link qualquer metadados são enviados para servidores externos e podem ficar armazenados traçando um perfil completo deste usuário pela GAS Tecnologia ou pela própria entidade financeira.

Não é fácil remover o plugin, ele sequer deixa ser desabilitado pelo browser e espalha diversas entradas pelo registro (no caso do Windows) e diversos arquivos pelo computador.

Plugin de segurança de bancos apresenta falha grave: a falha

A falha de segurança permite que um invasor capture informações do cliente bancário e com isso possa entregar um malware personalizado para empreender algum tipo de ataque ou roubo mais sofisticado.

Inclusive é possível realizar ataques de phishing scan com páginas falsas de entidades bancárias, tudo isso com a validação do plugin.

Como é de costume a GAS Tecnologia nega que tal falha possa de fato comprometer a integridade dos dados do usuário, porém existem testes de prova de conceito comprovando a gravidade da falha de segurança.

Petter Rafael

Desenvolvedor Web atua com as tecnologias Java e PHP apoiadas pelos bancos de dados Oracle e MySQL. Além dos ambientes de desenvolvimento acima possuiu amplo conhecimento em servidores Apache/Tomcat, Photoshop, Arte & Foto, Flash e mais uma dezena de ferramentas e tecnologias emergentes. Atualmente colabora com o Viablog escrevendo sobre programação e tecnologia.