Um grande n\u00famero de aplica\u00e7\u00f5es banc\u00e1rias para iOS, muito utilizada por clientes das entidades financeiras mais importantes do mundo, cont\u00e9m bugs (vulnerabilidades) que exp\u00f5em os usu\u00e1rios ao roubo de dados e a viola\u00e7\u00e3o de suas contas. Especificamente, um cibercriminoso experiente poderia monitorar o comportamento do usu\u00e1rio com ataques man-in-the-middle, assumir o controle de contas do usu\u00e1rio por meio de ataques de seq\u00fcestro e causar problemas de mem\u00f3ria corrompida que pode levar a falhas no sistema e vazamentos de dados. Ao todo, essas vulnerabilidades podem permitir a um cibercriminoso roubar as credenciais do usu\u00e1rio e fraudulentamente acessar contas banc\u00e1rias online.<\/p>\n
\n
Ariel Sanchez, um pesquisador argentino que trabalha com a empresa de seguran\u00e7a IOActive, examinou 40 aplicativos m\u00f3veis de 60 bancos. Sanchez anlisu tamb\u00e9m a seguran\u00e7a dos mecanismos dos aplicativos de transfer\u00eancia de dados, interfaces do usu\u00e1rio e os processos de armazenamentoe outras quest\u00f5es mais t\u00e9cnicas como compiladores e c\u00f3digo bin\u00e1rios.<\/p>\n
Sanchez encontrou uma s\u00e9rie de vulnerabilidades potencialmente explor\u00e1veis\u200b\u200b.<\/p>\n
“Algu\u00e9m com as habilidades certas pode usar essas informa\u00e7\u00f5es para detectar poss\u00edveis erros e depois de alguma pesquisa poderia desenvolver um exploit ou malware para comprometer os clientes dos aplicativos banc\u00e1rios afetados”, disse Sanchez. “Podemos dizer que esse \u00e9 o primeiro passo para uma potencial amea\u00e7a de seguran\u00e7a”.<\/p>\n
IOActive informou as vulnerabilidades aos respectivos bancos. At\u00e9 o momento, afirma Sanchez, nenhum dos bancos solucionaram qualquer das quest\u00f5es de seguran\u00e7a.<\/p>\n
O problema mais preocupante, segundo Sanchez, \u00e9 que durante a an\u00e1lise est\u00e1tica de cada aplicativo encontraram muitas credenciais de desenvolvimento codificadas enterradas nos c\u00f3digos bin\u00e1rios. Em outras palavras, uma variedade de aplica\u00e7\u00f5es banc\u00e1rias vulner\u00e1veis \u200b\u200bidentificadas cont\u00e9m chaves mestres facilmente visiv\u00e9is, que permitiram o acesso \u00e0s infraestruturas das aplica\u00e7\u00f5es. Infelizmente, os cibercriminosos tamb\u00e9m podem ter acesso a tal informa\u00e7\u00e3o.<\/p>\n
“Essa vulnerabilidade pode ser usada para obter acesso \u00e0 infra-estrutura de desenvolvimento do banco e infectar o aplicativo com malware, causando uma infec\u00e7\u00e3o generalizada para todos os usu\u00e1rios do aplicativo”, disse Sanchez.<\/p>\n
Parte do problema \u00e9 que muitas de aplica\u00e7\u00f5es ennviam links n\u00e3o criptografados para os usu\u00e1rios ou nao validam adequadamente os certificados SSL quando a informa\u00e7\u00e3o \u00e9 criptografada. Este comportamento, que Sanchez atribui a um simples descuido de quem desenvolveu os aplicativos, coloca os clientes como alvos de ataques man-in- the-middle nos quais os cibercriminosos poderiam injetar javascript malicioso ou c\u00f3digo HTML como parte de um ataque de phishing.<\/p>\n
<\/p>\n
Todas os problemas detectados pelo especialista argentino, em 70% dos casos, s\u00e3o originados do fato de que os bancos n\u00e3o implementaram um sistema de autentica\u00e7\u00e3o de dois fatores.<\/p>\n
“Para entrar nestes aplicativos s\u00f3 necessita o c\u00f3digo bin\u00e1rio, uma ferramenta para decifrar o c\u00f3digo e outra para desmontar o c\u00f3digo”, disse ele. ” H\u00e1 um grande n\u00famero de informa\u00e7\u00f5es dispon\u00edveis na web que descrevem como descifrar e desmontar o c\u00f3digo desses aplicativos. Algu\u00e9m com algum tempo e sem qualquer experi\u00eancia pode facilmente segui-lo.”<\/p>\n
IOActive tem tratado o tema com seriedade e responsabilidade (para o bem ou para o mal). Por um lado, a empresa n\u00e3o est\u00e3o nomeando os bancos afetados, nem entraram em detalhes sobre as vulnerabilidades espec\u00edficas de cada aplica\u00e7\u00e3o e isso \u00e9 bom. Por outro lado, n\u00e3o sabemos quais s\u00e3o os bancos e as aplica\u00e7\u00f5es vulner\u00e1veis e, em consequ\u00eancia, n\u00e3o sabemos em quais podemos confiar.<\/p>\n
Obviamente, o mais cauteloso neste caso \u00e9 evitar utilizar mais aplicativos banc\u00e1rios para dispositivos m\u00f3veis at\u00e9 que estes problemas seja confirmados e solucionados. No entanto, a maioria de n\u00f3s simplesmente n\u00e3o vai fazer isso. Ent\u00e3o, enquanto isso, voc\u00ea definitivamente deve configurar a autentica\u00e7\u00e3o de dois fatores se o seu provedor de servi\u00e7os banc\u00e1rios oferece. Al\u00e9m disso, \u00e9 recomend\u00e1vel prestar aten\u00e7\u00e3o aos links que recebemos e olhar, de vez em quando, nossa conta banc\u00e1ria para detectar algum movimento estranho. Deste modo, ser\u00e1 mais dificil cair na armadilha dos cibercriminosos.<\/p>\n","protected":false},"excerpt":{"rendered":"
Um grande n\u00famero de aplica\u00e7\u00f5es banc\u00e1rias para iOS, muito utilizada por clientes das entidades financeiras mais importantes do mundo, cont\u00e9m bugs (vulnerabilidades) que exp\u00f5em os usu\u00e1rios ao roubo de dados<\/p>\n","protected":false},"author":42,"featured_media":2016,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[14],"tags":[],"class_list":{"0":"post-2015","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/vulnerabilidades-nos-apps-bancarios-do-ios\/2015\/"}],"acf":[],"banners":"","maintag":[],"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/2015","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/42"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=2015"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/2015\/revisions"}],"predecessor-version":[{"id":13645,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/2015\/revisions\/13645"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/2016"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=2015"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=2015"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=2015"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}