Início » Segurança » Plugin de segurança de bancos apresenta falha grave

Plugin de segurança de bancos apresenta falha grave

Plugin de segurança de bancos apresenta falha grave que permite que dados de clientes sejam capturados e utilizados por criminosos. Veja os detalhes aqui.

[ad#texto]

Plugin de segurança de bancos apresenta falha grave
Plugin de segurança de bancos apresenta falha grave

Em 2014 nós já avisamos que o plugin bancário que serve para garantir a segurança da comunicação via internet banking apresentava atitudes mais que suspeitas e agora o plugin de segurança de bancos apresenta falha grave que pode resultar em roubos de informações, o que levando em conta um ambiente bancário é o pior cenário que pode existir.

A GAS Tecnologia que é a responsável por este plugin, que atende a grande maioria dos bancos, alega que a presente falha de segurança já foi corrigida para o ambiente Windows e que os ambientes Linux e OSX serão atualizados em breve, mas será que o problema é somente este?

Plugin de segurança de bancos apresenta falha grave: o plugin

O plugin ainda utiliza o NAPI para ser executado pelo browser, a princípio este plugin deveria apenas garantir a segurança da comunicação com a entidade bancária, porém ele é instalado como uma espécie de interface entre o sistema operacional e a placa de rede e com isso todo tipo de conexão é filtrado e monitorado.

Não é claro para onde vão estas informações, mas é certo que quando um usuário que possui o plugin instalado acessa um link qualquer metadados são enviados para servidores externos e podem ficar armazenados traçando um perfil completo deste usuário pela GAS Tecnologia ou pela própria entidade financeira.

Não é fácil remover o plugin, ele sequer deixa ser desabilitado pelo browser e espalha diversas entradas pelo registro (no caso do Windows) e diversos arquivos pelo computador.

Plugin de segurança de bancos apresenta falha grave: a falha

A falha de segurança permite que um invasor capture informações do cliente bancário e com isso possa entregar um malware personalizado para empreender algum tipo de ataque ou roubo mais sofisticado.

Inclusive é possível realizar ataques de phishing scan com páginas falsas de entidades bancárias, tudo isso com a validação do plugin.

Como é de costume a GAS Tecnologia nega que tal falha possa de fato comprometer a integridade dos dados do usuário, porém existem testes de prova de conceito comprovando a gravidade da falha de segurança.

Descubra mais sobre ViamaisBLOG

Assine para receber nossas notícias mais recentes por e-mail.

Petter Rafael

Desenvolvedor Web atua com as tecnologias Java e PHP apoiadas pelos bancos de dados Oracle e MySQL. Além dos ambientes de desenvolvimento acima possuiu amplo conhecimento em servidores Apache/Tomcat, Photoshop, Arte & Foto, Flash e mais uma dezena de ferramentas e tecnologias emergentes. Atualmente colabora com o Viablog escrevendo sobre programação e tecnologia.
Como rever fotos de visualização única no WhatsApp

Como rever fotos de visualização única no WhatsApp

Cuidados com smartphone usado: como preservar sua privacidade

Cuidados com smartphone usado: como preservar sua privacidade

Falha grave em smartphones Samsung foi descoberta pelo Google

Falha grave em smartphones Samsung foi descoberta pelo Google

Golpe do boleto DDA: mais um golpe na praça

Golpe do boleto DDA: mais um golpe na praça

Falha em banco de dados da Volkswagen expões localização

Falha em banco de dados da Volkswagen expões localização

Como o Teams dissemina malware entre seus usuários

Como o Teams dissemina malware entre seus usuários

ViamaisBLOG
Powered by  GDPR Cookie Compliance
Privacy Overview

This website uses cookies so that we can provide you with the best user experience possible. Cookie information is stored in your browser and performs functions such as recognising you when you return to our website and helping our team to understand which sections of the website you find most interesting and useful.