Um grande número de aplicações bancárias para iOS, muito utilizada por clientes das entidades financeiras mais importantes do mundo, contém bugs (vulnerabilidades) que expõem os usuários ao roubo de dados e a violação de suas contas. Especificamente, um cibercriminoso experiente poderia monitorar o comportamento do usuário com ataques man-in-the-middle, assumir o controle de contas do usuário por meio de ataques de seqüestro e causar problemas de memória corrompida que pode levar a falhas no sistema e vazamentos de dados. Ao todo, essas vulnerabilidades podem permitir a um cibercriminoso roubar as credenciais do usuário e fraudulentamente acessar contas bancárias online.
Ariel Sanchez, um pesquisador argentino que trabalha com a empresa de segurança IOActive, examinou 40 aplicativos móveis de 60 bancos. Sanchez anlisu também a segurança dos mecanismos dos aplicativos de transferência de dados, interfaces do usuário e os processos de armazenamentoe outras questões mais técnicas como compiladores e código binários.
Sanchez encontrou uma série de vulnerabilidades potencialmente exploráveis.
“Alguém com as habilidades certas pode usar essas informações para detectar possíveis erros e depois de alguma pesquisa poderia desenvolver um exploit ou malware para comprometer os clientes dos aplicativos bancários afetados”, disse Sanchez. “Podemos dizer que esse é o primeiro passo para uma potencial ameaça de segurança”.
IOActive informou as vulnerabilidades aos respectivos bancos. Até o momento, afirma Sanchez, nenhum dos bancos solucionaram qualquer das questões de segurança.
O problema mais preocupante, segundo Sanchez, é que durante a análise estática de cada aplicativo encontraram muitas credenciais de desenvolvimento codificadas enterradas nos códigos binários. Em outras palavras, uma variedade de aplicações bancárias vulneráveis identificadas contém chaves mestres facilmente visivéis, que permitiram o acesso às infraestruturas das aplicações. Infelizmente, os cibercriminosos também podem ter acesso a tal informação.
“Essa vulnerabilidade pode ser usada para obter acesso à infra-estrutura de desenvolvimento do banco e infectar o aplicativo com malware, causando uma infecção generalizada para todos os usuários do aplicativo”, disse Sanchez.
Parte do problema é que muitas de aplicações ennviam links não criptografados para os usuários ou nao validam adequadamente os certificados SSL quando a informação é criptografada. Este comportamento, que Sanchez atribui a um simples descuido de quem desenvolveu os aplicativos, coloca os clientes como alvos de ataques man-in- the-middle nos quais os cibercriminosos poderiam injetar javascript malicioso ou código HTML como parte de um ataque de phishing.
Todas os problemas detectados pelo especialista argentino, em 70% dos casos, são originados do fato de que os bancos não implementaram um sistema de autenticação de dois fatores.
“Para entrar nestes aplicativos só necessita o código binário, uma ferramenta para decifrar o código e outra para desmontar o código”, disse ele. ” Há um grande número de informações disponíveis na web que descrevem como descifrar e desmontar o código desses aplicativos. Alguém com algum tempo e sem qualquer experiência pode facilmente segui-lo.”
IOActive tem tratado o tema com seriedade e responsabilidade (para o bem ou para o mal). Por um lado, a empresa não estão nomeando os bancos afetados, nem entraram em detalhes sobre as vulnerabilidades específicas de cada aplicação e isso é bom. Por outro lado, não sabemos quais são os bancos e as aplicações vulneráveis e, em consequência, não sabemos em quais podemos confiar.
Obviamente, o mais cauteloso neste caso é evitar utilizar mais aplicativos bancários para dispositivos móveis até que estes problemas seja confirmados e solucionados. No entanto, a maioria de nós simplesmente não vai fazer isso. Então, enquanto isso, você definitivamente deve configurar a autenticação de dois fatores se o seu provedor de serviços bancários oferece. Além disso, é recomendável prestar atenção aos links que recebemos e olhar, de vez em quando, nossa conta bancária para detectar algum movimento estranho. Deste modo, será mais dificil cair na armadilha dos cibercriminosos.