CONSULTCORP Solues Tecnolgicas Rua Mateus Leme, 2004 | Centro Cvico | CEP 80530-010 | Curitiba | Paran Fone (41) 3350-6042 Fax (41) 3350-6101 www.consultcorp.com.br

Apps de bancos para iOS podem deixar dados de

usurios expostos, diz especialista Os programas se comunicam com seus servidores por canais inseguros,

transmitindo em texto plano informaes como nmero da conta, agncia e senha online. Gustavo Gusmao, de INFO Online 04/05/2015 12h29

As verses de aplicativos de seis bancos para iOS apresentam brechas que podem deixar

informaes de usurios expostas. Quem afirma isso o especialista em segurana Renato

Ribeiro, que testou apps de dez instituies financeiras e encontrou falhas nos desenvolvidos por

Banco do Brasil, Caixa, Banco do Nordeste, HSBC, Citibank e Bradesco. Todos eles, porm,

negaram a existncia de problemas.

Em conversa com INFO, Ribeiro explicou que os programas se comunicam com seus servidores

por canais inseguros, transmitindo em texto plano informaes como nmero da conta, agncia e

senha online. Portanto, se usados em uma rede Wi-Fi que seja insegura ou esteja comprometida,

os apps podem deixar esse tipo de dado exposto em um ataque que intercepte essa ligao como um man-in-the-middle (MitM), que consiste basicamente em um intruso no meio do

caminho, conforme o diagrama aqui mostra.

Segundo o especialista, que tambm identificou uma falha no sistema de bikes do Ita e da

Serttel, problema foi encontrado por ele h seis meses nos apps do Ita e do Banco do Brasil, os

nicos testados na ocasio. Ele mesmo entrou em contato com os bancos para passar as

informaes, mas novos testes realizados por Ribeiro no ltimo ms de abril revelaram que

apenas a primeira instituio havia corrigido a brecha. A avaliao mais recente, por sinal, foi a

que envolveu os outros bancos e resultou na descoberta da vulnerabilidade nos apps de cinco deles, alm do BB.

O especialista demonstrou a INFO, por meio de vdeos, simulaes de ataques contra os seis

aplicativos. Em todas elas, o iPhone de Ribeiro se conectava a uma rede Wi-Fi criada e

monitorada por um suposto hacker, que conseguia, pelo terminal de um Mac, ver em texto plano

as informaes sigilosas que eram enviadas ao servidor.

Esses mesmos vdeos e o contato de Ribeiro foram enviados por INFO, de forma privada, s

instituies financeiras. Por meio de suas assessorias, todas disseram ter repassado as

informaes aos setores responsveis para anlise. Porm, segundo o especialista, nenhum dos

bancos chegou a entrar em contato. Alm disso, em comunicados oficiais, os seis bancos

disseram que suas aplicaes so seguras embora alguns tenham se apoiado nos usurios, admitindo que a colaborao deles essencial.

Vale, ento, tomar cuidado ao utilizar os apps dos bancos em uma rede Wi-Fi aberta, como a de

um hotel ou de um caf. Uma reportagem do TechRadar explica que muitas delas so bons alvos

para cibercriminosos, que podem escutar todas as conversas que seu smartphone ou laptop est mantendo com o mundo externo usando apenas um adaptador Wi-Fi barato e algum software gratuito.

Portanto, independentemente da existncia da falha, evite essas conexes abertas na hora de

fazer uma transao por um app ou mesmo pelos sites dos bancos. O 3G e o 4G so preferveis

nessas horas. Se o uso for inevitvel, vale apelar para uma rede virtual priavada (VPN) confivel

CONSULTCORP Solues Tecnolgicas Rua Mateus Leme, 2004 | Centro Cvico | CEP 80530-010 | Curitiba | Paran Fone (41) 3350-6042 Fax (41) 3350-6101 www.consultcorp.com.br

para criptografar seu trfego as empresas de segurana Avast e F-Secure tm apps pagos do tipo para iPhones.

Confira abaixo os posicionamentos oficiais enviados pelos bancos:

Bradesco:

O Bradesco esclarece que o ambiente transacional de seus apps seguro e no vulnervel. O acesso conta e a realizao de transaes ocorrem em ambiente seguro, com dados

criptografados. As transaes realizadas nos Canais Digitais do banco, alm de utilizar senha, so

autenticadas pela Chave de Segurana Bradesco ou pela Biometria da palma da mo, de acordo

com o canal utilizado. No caso dos smartphones, o M-Token, que gera as Chaves de Segurana,

est integrada aos aplicativos. Estas chaves so dinmicas e aleatrias, mudando em segundos.

Informamos ainda que o banco trabalha em um processo contnuo de aprimoramento dos

produtos e servios disponveis aos clientes. Na questo de segurana, por exemplo, possui

sistemas de monitoramento, que analisam as transaes em tempo real.

O Bradesco esclarece que a navegao em seus aplicativos acontece de forma segura. imprescindvel que o cliente navegue sempre em redes conhecidas e seguras e no instale

certificados no confiveis em seu celular. O banco recomenda ainda que o cliente faa o

download e atualizaes dos apps sempre das lojas oficiais da Apple, Android, Windows e

Blackberry. O Bradesco disponibiliza, desde abril/2014, acesso grtis ao Bradesco Celular, que

possibilita aos clientes das operadoras Claro, Oi, TIM e Vivo acessarem a conta sem gastar seu

plano de dados, evitando assim a necessidade de acesso ao banco por redes Wi-Fi no seguras.

Banco do Nordeste:

No constatamos, na aplicao mvel do Banco do Nordeste, o trnsito de dados de clientes em texto no codificado. Informamos ainda que o Banco do Nordeste avalia periodicamente seus

aplicativos, dentro da estratgia da busca constante pela evoluo em segurana e melhoria de

seus produtos.

Citibank:

O Citi esclarece que segue as melhores prticas em segurana da informao para que os dados e as informaes sob sua responsabilidade estejam protegidos, realizando continuamente testes

com esse objetivo.

Assessoria de Imprensa do Banco do Brasil:

O Banco do Brasil esclarece que no identificou qualquer fraude envolvendo seus clientes relacionada s aes descritas. O BB investe permanentemente no aperfeioamento de seus

ambientes digitais e aplicaes, como forma de aumentar a segurana e a convenincia para seus

clientes, alm de fomentar padres adequados de conduta na navegao.

Caixa:

O man-in-the-midle (MITM) um ataque conhecido pela comunidade de tecnologia, bem como o fato de que a sua explorao depende de algumas variveis, como acesso e controle do meio de

comunicao entre o internauta e o servidor seguro, concordncia por parte do internauta quanto

CONSULTCORP Solues Tecnolgicas Rua Mateus Leme, 2004 | Centro Cvico | CEP 80530-010 | Curitiba | Paran Fone (41) 3350-6042 Fax (41) 3350-6101 www.consultcorp.com.br

navegao por um site apesar do aviso de certificado invlido ou no confivel, entre outras. As

aes de aperfeioamento em sintonia com as melhores prticas do mercado, sob a tica de

segurana, so uma busca constante nas metas da CAIXA. O banco tem diversas aes em

andamento que visam mitigar ainda mais esses tipos de risco. Entendemos que apesar de todo o

aparato tecnolgico de segurana, sempre ser necessrio reforarmos a conscientizao dos

internautas quanto aos perigos existentes com o uso de mquinas de acesso pblico, pontos de

acesso wifi pblicos, bem como aceitar certificados invlidos ou no confiveis para navegao.

HSBC:

O HSBC tem vrias camadas de segurana que se sobrepem e garantem total integridade no ambiente virtual. Adicionalmente, procedimentos de controle so implementados diariamente aos

quais os clientes tm acesso com uma atualizao de verso. O HSBC Brasil no tem registro de

ataques virtuais a partir do mobile e garante confiabilidade no conjunto de procedimentos de

segurana com testes peridicos executados por empresas idneas e com reputao

internacional.

A ConsultCorp distribui F-Secure no Brasil. Mais informaes acesse o site

www.consultcorp.com.br