O ‘Warsaw’, dispositivo (plugin) de segurança utilizado por grandes bancos, como Caixa Econômica Federal, Banco do Brasil e Itaú, para dar acesso ao internet banking, tem uma brecha que permite o vazamento de informações. Ao explorar a falha, um criminoso poderia entregar um malware personalizado para induzir o correntista a fornecer dados pessoais.

A vulnerabilidade foi descoberta pelo consultor de segurança Joaquim Espinhara, que detalhou o problema no dia 19 de abril à GAS Tecnologia, empresa responsável pelo Warsaw, mas não obteve resposta.

Os testes detectaram que o sistema permite que qualquer página, inclusive maliciosa, possa fazer requisições ao software bancário.

Um criminoso pode identificar remotamente qual é o banco utilizado pela vítima. Uma das possibilidades é redirecionar o correntista para uma página que imite a do banco.

Entre as instituições que utilizam o Warsaw como solução de segurança bancária estão o Banco do Brasil, Caixa Econômica Federal, Itaú, Safra, Banese, Sicredi, Banco do Nordeste, Banco de Brasília e Banco da Amazônia.

Em comunicado ao Tecnoblog, a GAS Tecnologia informou que o bug “já havia sido identificado pelos técnicos da empresa e a solução já foi implantada na última versão publicada do Warsaw para o sistema operacional Windows”. No plugin para Linux e OS X, o problema será corrigido na próxima versão. A empresa também ressalta que a brecha “não traz nenhuma possibilidade de invasão no computador do usuário, tanto local quanto remotamente”.

Informações e mais detalhes no Tecnoblog