A empresa SourceDNA, especializada em análise e monitoramento de apps para plataformas móveis, alertou na sexta feira (24) sobre a existência de uma falha que deixa vulneráveis 25 mil apps para iOS, inclusive programas de instituições financeiras do Brasil. A brecha está localizada em uma biblioteca de código chamada AFNetworking, que deixa aplicativos vulneráveis a ataques de interceptação de dados.
O AFNetworking facilita a inclusão de funções de rede em aplicativos para iOS. Ou seja, esse código é instalado junto de outros apps e não diretamente pelo usuário. Como ele é reaproveitado por vários desenvolvedores, uma brecha nesse código impacta os milhares de apps que o utilizam.
A falha está na validação de certificados digitais para sites seguros (SSL). O SSL é a tecnologia que mostra o "cadeado" de segurança em sites de internet. O cadeado só pode ser exibido quando um site possui um certificado digital válido e se esse certificado corresponde ao site visitado. Dessa maneira, um criminoso não pode usar um certificado obtido para outro site para criar uma página clonada de um endereço seguro.
Por causa da vulnerabilidade, o AFNetworking não verifica se o certificado digital corresponde ao site visitado. Com isso, um criminoso pode criar um site clonado e redirecionar o tráfego do app para esse site, usando qualquer certificado digital válido. Certificados digitais válidos podem ser obtidos gratuitamente pelos golpistas.
O ataque é mais fácil de ser realizado em redes Wi-Fi públicas. Nessas redes, um criminoso presente no local poderia redirecionar o site acessado pelo app para interceptar o tráfego e obter todos os dados, inclusive as senhas, que foram transmitidas pelo app de forma supostamente segura.
A brecha no AFNetworking já foi corrigida. Desenvolvedores podem integrar a versão mais nova do código e atualizar o app para eliminar a vulnerabilidade. Mas isso precisa ser feito para cada aplicativo.
A SourceDNA disponibilizou uma página de consulta para verificar se um app está ou não vulnerável. O G1 pesquisou por apps de cinco dos maiores bancos brasileiros: Banco do Brasil, Bradesco, Caixa Econômica Federal, Itaú e Santander. Apps do Bradesco e do Itaú apareceram na lista como vulneráveis.
O G1 solicitou um posicionamento do Bradesco e do Itaú para saber se os apps estavam mesmo vulneráveis e quais medidas seriam tomadas. As instituições também foram questionadas se os apps tinham algum recurso de segurança extra que impediria a falha de ser explorada na prática.
Leia abaixo a resposta do Bradesco:
O Bradesco esclarece que está atualizando todas as versões dos apps que utilizam AFNetworking. É importante ressaltar que essa API somente é utilizada no ambiente institucional, sem acesso a dados sigilosos. O ambiente transacional de seus apps é seguro e não é vulnerável. O acesso à conta e a realização de transações ocorrem em ambiente seguro. As transações realizadas nos Canais Digitais do banco, além de utilizar senha, são autenticadas pela Chave de Segurança Bradesco ou pela Biometria da palma da mão, de acordo com o canal utilizado.
No caso dos smartphones, o M-Token, que gera as Chaves de Segurança, está integrado aos aplicativos. Estas chaves são dinâmicas e aleatórias, mudando em segundos. Informamos ainda que o banco trabalha em um processo contínuo de aprimoramento dos produtos e serviços disponíveis aos clientes. Na questão de segurança, por exemplo, possui sistemas de monitoramento, que analisam as transações em tempo real.
Leia a resposta do Itaú:
O Itaú esclarece que seus aplicativos móveis não são vulneráveis a esse risco. O banco investe constantemente em tecnologia e segurança com objetivo não somente de proteger os dados dos clientes, mas também de oferecer serviços cada vez mais ágeis e inovadores.