Recentemente o pesquisador e pentester brasileiro Joaquim Espinhara divulgou algumas vulnerabilidades sobre o Warsaw, software desenvolvido pela GAS Tecnologia e adotado por diversos bancos brasileiros para proteger o acesso de seus clientes ao Internet Banking.

Apesar de todos os esforços, a fraude no Brasil em Internet Banking ainda é muito grande. Só em 2015, segundo dados divulgados pela Febraban, os bancos brasileiros registraram perdas de R$ 1,8 bilhão, com fraudes eletrônicas.

Estas fraudes ocorrem normalmente atacando o cliente, uma vez que este é muito mais vulnerável e suscetível à engenharia social e outras técnicas que o levem a entregar suas credenciais de acesso a sua conta, seja através de sites falsos, seja através de programas maliciosos (trojan horses).

Há muito tempo os bancos tentam combater essa vulnerabilidade no elo mais fraco dessa cadeia. Teclados virtuais, cartões de senha, campanhas de conscientização, múltiplos fatores de autenticação, tokens, cadastramento de máquinas, etc, são alguns exemplos de contramedidas que foram adotadas nos últimos anos com relativo sucesso; sucesso este que geralmente é temporário, pois os fraudadores rapidamente se adaptam e passam a evoluir suas técnicas.

Uma dessas contramedidas é a utilização do chamado “módulo de proteção” (ou outros nomes, de acordo com o marketing de cada banco). Trata-se geralmente da mesma coisa: um plug-in para navegadores que, atuando na máquina do cliente, permite ao banco um controle um pouco maior sobre este ambiente que foge de seu domínio.

Todavia, como em qualquer aumento de controle em prol da segurança, muitas vezes esbarramos em questões relacionadas à privacidade — já amplamente comentadas e criticadas — que o cliente é forçado a aceitar. Neste caso a maioria dos bancos que usam estes plug-ins não permite o acesso ao Internet Banking sem que o mesmo esteja instalado e funcionando.

E agora nos deparamos com mais alguns problemas, apontados pelo Espinhara em sua pesquisa.

O primeiro deles é uma chave de criptografia “hardcoded” na library wsftpup.dylib. O artigo não deixa claro para que esta chave é usada, mas o nome da library sugere que se trata de uma chave utilizada para comunicação entre o Warsaw e um servidor remoto de FTP. O nome da função, loadconfig, sugere que este servidor é de onde o Warsaw “baixa” suas configurações e ou atualizações.

Supondo que esta dedução esteja correta, um atacante poderia interceptar esta comunicação e alterar as configurações para facilitar um ataque.

Foto: J

Outro problema relatado na pesquisa é que o Warsaw estabelece um Websocket vulnerável ao Cross-Site WebSocket Hijacking (CSWSH). Isso permite que qualquer site que contenha um código JavaScript malicioso possa enviar requisições ao Warsaw, possibilitando identificar remotamente o banco dos usuários e se eles tem o Warsaw instalado em seu computador.

Dessa forma, um atacante poderia enviar à vítima um ataque “personalizado”, pois já saberá de antemão em qual banco ela tem conta. Além disso, como cita Espinhara, até mesmo bancos concorrentes ou agências de publicidade podem se beneficiar desta informação.

Foto: J

O pesquisador informa que relatou as falhas a GAS Tecnologia em 19 de abril. Até o momento, 06 de maio, não houve retorno se as falhas foram corrigidas.