Exame Logo

Apps de bancos para iOS podem expor dados de usuários

Segundo especialista, pela falha, cibercriminosos podem obter números de conta e agência e senhas por meio de redes Wi-Fi desprotegidas

Apps de bancos: especialista em segurança testou apps de dez instituições financeiras e encontrou falhas (sxc.hu)
DR

Da Redação

Publicado em 4 de maio de 2015 às 21h59.

São Paulo - As versões de aplicativos de seis bancos para iOS apresentam brechas que podem deixar informações de usuários expostas. Quem afirma isso é o especialista em segurança Renato Ribeiro, que testou apps de dez instituições financeiras e encontrou falhas nos desenvolvidos por Banco do Brasil, Caixa, Banco do Nordeste, HSBC, Citibank e Bradesco. Todos eles, porém, negaram a existência de problemas.

Em conversa com INFO, Ribeiro explicou que os programas se comunicam com seus servidores por canais inseguros, transmitindo em texto plano informações como número da conta, agência e senha online.

Portanto, se usados em uma rede Wi-Fi que seja insegura ou esteja comprometida, os apps podem deixar esse tipo de dado exposto em um ataque que intercepte essa ligação – como um man-in-the-middle (MitM), que consiste basicamente em um intruso no meio do caminho, conforme o diagrama aqui mostra.

Segundo o especialista, que também identificou uma falha no sistema de bikes do Itaú e da Serttel, problema foi encontrado por ele há seis meses nos apps do Itaú e do Banco do Brasil, os únicos testados na ocasião.

Ele mesmo entrou em contato com os bancos para passar as informações, mas novos testes realizados por Ribeiro no último mês de abril revelaram que apenas a primeira instituição havia corrigido a brecha. A avaliação mais recente, por sinal, foi a que envolveu os outros bancos – e resultou na descoberta da vulnerabilidade nos apps de cinco deles, além do BB.

O especialista demonstrou a INFO, por meio de vídeos, simulações de ataques contra os seis aplicativos. Em todas elas, o iPhone de Ribeiro se conectava a uma rede Wi-Fi criada e monitorada por um suposto hacker, que conseguia, pelo terminal de um Mac, ver em texto plano as informações sigilosas que eram enviadas ao servidor.

Esses mesmos vídeos e o contato de Ribeiro foram enviados por INFO, de forma privada, às instituições financeiras. Por meio de suas assessorias, todas disseram ter repassado as informações aos setores responsáveis para análise.

Porém, segundo o especialista, nenhum dos bancos chegou a entrar em contato. Além disso, em comunicados oficiais, os seis bancos disseram que suas aplicações são seguras – embora alguns tenham se apoiado nos usuários, admitindo que a colaboração deles é essencial.

Vale, então, tomar cuidado ao utilizar os apps dos bancos em uma rede Wi-Fi aberta, como a de um hotel ou de um café.

Uma reportagem do TechRadar explica que muitas delas são bons alvos para cibercriminosos, que podem “escutar todas as conversas que seu smartphone ou laptop está mantendo com o mundo externo” usando apenas “um adaptador Wi-Fi barato e algum software gratuito”.

Portanto, independentemente da existência da falha, evite essas conexões abertas na hora de fazer uma transação por um app ou mesmo pelos sites dos bancos. O 3G e o 4G são preferíveis nessas horas. Se o uso for inevitável, vale apelar para uma rede virtual priavada (VPN) confiável para criptografar seu tráfego – as empresas de segurança Avast e F-Secure têm apps pagos do tipo para iPhones.

Confira abaixo os posicionamentos oficiais enviados pelos bancos:

Bradesco:

“O Bradesco esclarece que o ambiente transacional de seus apps é seguro e não é vulnerável. O acesso à conta e a realização de transações ocorrem em ambiente seguro, com dados criptografados. As transações realizadas nos Canais Digitais do banco, além de utilizar senha, são autenticadas pela Chave de Segurança Bradesco ou pela Biometria da palma da mão, de acordo com o canal utilizado. No caso dos smartphones, o M-Token, que gera as Chaves de Segurança, está integrada aos aplicativos. Estas chaves são dinâmicas e aleatórias, mudando em segundos. Informamos ainda que o banco trabalha em um processo contínuo de aprimoramento dos produtos e serviços disponíveis aos clientes. Na questão de segurança, por exemplo, possui sistemas de monitoramento, que analisam as transações em tempo real”.

“O Bradesco esclarece que a navegação em seus aplicativos acontece de forma segura. É imprescindível que o cliente navegue sempre em redes conhecidas e seguras e não instale certificados não confiáveis em seu celular. O banco recomenda ainda que o cliente faça o download e atualizações dos apps sempre das lojas oficiais da Apple, Android, Windows e Blackberry. O Bradesco disponibiliza, desde abril/2014, acesso grátis ao Bradesco Celular, que possibilita aos clientes das operadoras Claro, Oi, TIM e Vivo acessarem a conta sem gastar seu plano de dados, evitando assim a necessidade de acesso ao banco por redes Wi-Fi não seguras.”

Banco do Nordeste:

“Não constatamos, na aplicação móvel do Banco do Nordeste, o trânsito de dados de clientes em texto não codificado. Informamos ainda que o Banco do Nordeste avalia periodicamente seus aplicativos, dentro da estratégia da busca constante pela evolução em segurança e melhoria de seus produtos.”

Citibank:

“O Citi esclarece que segue as melhores práticas em segurança da informação para que os dados e as informações sob sua responsabilidade estejam protegidos, realizando continuamente testes com esse objetivo.”

Assessoria de Imprensa do Banco do Brasil:

“O Banco do Brasil esclarece que não identificou qualquer fraude envolvendo seus clientes relacionada às ações descritas. O BB investe permanentemente no aperfeiçoamento de seus ambientes digitais e aplicações, como forma de aumentar a segurança e a conveniência para seus clientes, além de fomentar padrões adequados de conduta na navegação.”

Caixa:

“O man-in-the-midle (MITM) é um ataque conhecido pela comunidade de tecnologia, bem como o fato de que a sua exploração depende de algumas variáveis, como acesso e controle do meio de comunicação entre o internauta e o servidor seguro, concordância por parte do internauta quanto à navegação por um site apesar do aviso de certificado inválido ou não confiável, entre outras. As ações de aperfeiçoamento em sintonia com as melhores práticas do mercado, sob a ótica de segurança, são uma busca constante nas metas da CAIXA. O banco tem diversas ações em andamento que visam mitigar ainda mais esses tipos de risco. Entendemos que apesar de todo o aparato tecnológico de segurança, sempre será necessário reforçarmos a conscientização dos internautas quanto aos perigos existentes com o uso de máquinas de acesso público, pontos de acesso wifi públicos, bem como aceitar certificados inválidos ou não confiáveis para navegação.”

HSBC:

“O HSBC tem várias camadas de segurança que se sobrepõem e garantem total integridade no ambiente virtual. Adicionalmente, procedimentos de controle são implementados diariamente aos quais os clientes têm acesso com uma atualização de versão. O HSBC Brasil não tem registro de ataques virtuais a partir do mobile e garante confiabilidade no conjunto de procedimentos de segurança com testes periódicos executados por empresas idôneas e com reputação internacional.”

Veja também

São Paulo - As versões de aplicativos de seis bancos para iOS apresentam brechas que podem deixar informações de usuários expostas. Quem afirma isso é o especialista em segurança Renato Ribeiro, que testou apps de dez instituições financeiras e encontrou falhas nos desenvolvidos por Banco do Brasil, Caixa, Banco do Nordeste, HSBC, Citibank e Bradesco. Todos eles, porém, negaram a existência de problemas.

Em conversa com INFO, Ribeiro explicou que os programas se comunicam com seus servidores por canais inseguros, transmitindo em texto plano informações como número da conta, agência e senha online.

Portanto, se usados em uma rede Wi-Fi que seja insegura ou esteja comprometida, os apps podem deixar esse tipo de dado exposto em um ataque que intercepte essa ligação – como um man-in-the-middle (MitM), que consiste basicamente em um intruso no meio do caminho, conforme o diagrama aqui mostra.

Segundo o especialista, que também identificou uma falha no sistema de bikes do Itaú e da Serttel, problema foi encontrado por ele há seis meses nos apps do Itaú e do Banco do Brasil, os únicos testados na ocasião.

Ele mesmo entrou em contato com os bancos para passar as informações, mas novos testes realizados por Ribeiro no último mês de abril revelaram que apenas a primeira instituição havia corrigido a brecha. A avaliação mais recente, por sinal, foi a que envolveu os outros bancos – e resultou na descoberta da vulnerabilidade nos apps de cinco deles, além do BB.

O especialista demonstrou a INFO, por meio de vídeos, simulações de ataques contra os seis aplicativos. Em todas elas, o iPhone de Ribeiro se conectava a uma rede Wi-Fi criada e monitorada por um suposto hacker, que conseguia, pelo terminal de um Mac, ver em texto plano as informações sigilosas que eram enviadas ao servidor.

Esses mesmos vídeos e o contato de Ribeiro foram enviados por INFO, de forma privada, às instituições financeiras. Por meio de suas assessorias, todas disseram ter repassado as informações aos setores responsáveis para análise.

Porém, segundo o especialista, nenhum dos bancos chegou a entrar em contato. Além disso, em comunicados oficiais, os seis bancos disseram que suas aplicações são seguras – embora alguns tenham se apoiado nos usuários, admitindo que a colaboração deles é essencial.

Vale, então, tomar cuidado ao utilizar os apps dos bancos em uma rede Wi-Fi aberta, como a de um hotel ou de um café.

Uma reportagem do TechRadar explica que muitas delas são bons alvos para cibercriminosos, que podem “escutar todas as conversas que seu smartphone ou laptop está mantendo com o mundo externo” usando apenas “um adaptador Wi-Fi barato e algum software gratuito”.

Portanto, independentemente da existência da falha, evite essas conexões abertas na hora de fazer uma transação por um app ou mesmo pelos sites dos bancos. O 3G e o 4G são preferíveis nessas horas. Se o uso for inevitável, vale apelar para uma rede virtual priavada (VPN) confiável para criptografar seu tráfego – as empresas de segurança Avast e F-Secure têm apps pagos do tipo para iPhones.

Confira abaixo os posicionamentos oficiais enviados pelos bancos:

Bradesco:

“O Bradesco esclarece que o ambiente transacional de seus apps é seguro e não é vulnerável. O acesso à conta e a realização de transações ocorrem em ambiente seguro, com dados criptografados. As transações realizadas nos Canais Digitais do banco, além de utilizar senha, são autenticadas pela Chave de Segurança Bradesco ou pela Biometria da palma da mão, de acordo com o canal utilizado. No caso dos smartphones, o M-Token, que gera as Chaves de Segurança, está integrada aos aplicativos. Estas chaves são dinâmicas e aleatórias, mudando em segundos. Informamos ainda que o banco trabalha em um processo contínuo de aprimoramento dos produtos e serviços disponíveis aos clientes. Na questão de segurança, por exemplo, possui sistemas de monitoramento, que analisam as transações em tempo real”.

“O Bradesco esclarece que a navegação em seus aplicativos acontece de forma segura. É imprescindível que o cliente navegue sempre em redes conhecidas e seguras e não instale certificados não confiáveis em seu celular. O banco recomenda ainda que o cliente faça o download e atualizações dos apps sempre das lojas oficiais da Apple, Android, Windows e Blackberry. O Bradesco disponibiliza, desde abril/2014, acesso grátis ao Bradesco Celular, que possibilita aos clientes das operadoras Claro, Oi, TIM e Vivo acessarem a conta sem gastar seu plano de dados, evitando assim a necessidade de acesso ao banco por redes Wi-Fi não seguras.”

Banco do Nordeste:

“Não constatamos, na aplicação móvel do Banco do Nordeste, o trânsito de dados de clientes em texto não codificado. Informamos ainda que o Banco do Nordeste avalia periodicamente seus aplicativos, dentro da estratégia da busca constante pela evolução em segurança e melhoria de seus produtos.”

Citibank:

“O Citi esclarece que segue as melhores práticas em segurança da informação para que os dados e as informações sob sua responsabilidade estejam protegidos, realizando continuamente testes com esse objetivo.”

Assessoria de Imprensa do Banco do Brasil:

“O Banco do Brasil esclarece que não identificou qualquer fraude envolvendo seus clientes relacionada às ações descritas. O BB investe permanentemente no aperfeiçoamento de seus ambientes digitais e aplicações, como forma de aumentar a segurança e a conveniência para seus clientes, além de fomentar padrões adequados de conduta na navegação.”

Caixa:

“O man-in-the-midle (MITM) é um ataque conhecido pela comunidade de tecnologia, bem como o fato de que a sua exploração depende de algumas variáveis, como acesso e controle do meio de comunicação entre o internauta e o servidor seguro, concordância por parte do internauta quanto à navegação por um site apesar do aviso de certificado inválido ou não confiável, entre outras. As ações de aperfeiçoamento em sintonia com as melhores práticas do mercado, sob a ótica de segurança, são uma busca constante nas metas da CAIXA. O banco tem diversas ações em andamento que visam mitigar ainda mais esses tipos de risco. Entendemos que apesar de todo o aparato tecnológico de segurança, sempre será necessário reforçarmos a conscientização dos internautas quanto aos perigos existentes com o uso de máquinas de acesso público, pontos de acesso wifi públicos, bem como aceitar certificados inválidos ou não confiáveis para navegação.”

HSBC:

“O HSBC tem várias camadas de segurança que se sobrepõem e garantem total integridade no ambiente virtual. Adicionalmente, procedimentos de controle são implementados diariamente aos quais os clientes têm acesso com uma atualização de versão. O HSBC Brasil não tem registro de ataques virtuais a partir do mobile e garante confiabilidade no conjunto de procedimentos de segurança com testes periódicos executados por empresas idôneas e com reputação internacional.”

Acompanhe tudo sobre:AppsApps para iPhoneBanco do NordesteBancosBradescoCaixaCitibankCitigroupCrimeEmpresasEmpresas abertasEmpresas americanasEmpresas brasileirasEmpresas inglesasFinançasHSBCiPhoneRoubosWi-Fi

Mais lidas

exame no whatsapp

Receba as noticias da Exame no seu WhatsApp

Inscreva-se

Mais de Tecnologia

Mais na Exame