Apps de bancos para iOS podem deixar dados de

usurios expostos, diz especialista

Os programas se comunicam com seus servidores por canais inseguros,

transmitindo em texto plano informaes como nmero da conta, agncia e
senha online.
Gustavo Gusmao, de INFO Online 04/05/2015 12h29

As verses de aplicativos de seis bancos para iOS apresentam brechas que podem deixar
informaes de usurios expostas. Quem afirma isso o especialista em segurana Renato
Ribeiro, que testou apps de dez instituies financeiras e encontrou falhas nos desenvolvidos por
Banco do Brasil, Caixa, Banco do Nordeste, HSBC, Citibank e Bradesco. Todos eles, porm,
negaram a existncia de problemas.
Em conversa com INFO, Ribeiro explicou que os programas se comunicam com seus servidores
por canais inseguros, transmitindo em texto plano informaes como nmero da conta, agncia e
senha online. Portanto, se usados em uma rede Wi-Fi que seja insegura ou esteja comprometida,
os apps podem deixar esse tipo de dado exposto em um ataque que intercepte essa ligao
como um man-in-the-middle (MitM), que consiste basicamente em um intruso no meio do
caminho, conforme o diagrama aqui mostra.
Segundo o especialista, que tambm identificou uma falha no sistema de bikes do Ita e da
Serttel, problema foi encontrado por ele h seis meses nos apps do Ita e do Banco do Brasil, os
nicos testados na ocasio. Ele mesmo entrou em contato com os bancos para passar as
informaes, mas novos testes realizados por Ribeiro no ltimo ms de abril revelaram que
apenas a primeira instituio havia corrigido a brecha. A avaliao mais recente, por sinal, foi a
que envolveu os outros bancos e resultou na descoberta da vulnerabilidade nos apps de cinco
deles, alm do BB.
O especialista demonstrou a INFO, por meio de vdeos, simulaes de ataques contra os seis
aplicativos. Em todas elas, o iPhone de Ribeiro se conectava a uma rede Wi-Fi criada e
monitorada por um suposto hacker, que conseguia, pelo terminal de um Mac, ver em texto plano
as informaes sigilosas que eram enviadas ao servidor.
Esses mesmos vdeos e o contato de Ribeiro foram enviados por INFO, de forma privada, s
instituies financeiras. Por meio de suas assessorias, todas disseram ter repassado as
informaes aos setores responsveis para anlise. Porm, segundo o especialista, nenhum dos
bancos chegou a entrar em contato. Alm disso, em comunicados oficiais, os seis bancos
disseram que suas aplicaes so seguras embora alguns tenham se apoiado nos usurios,
admitindo que a colaborao deles essencial.
Vale, ento, tomar cuidado ao utilizar os apps dos bancos em uma rede Wi-Fi aberta, como a de
um hotel ou de um caf. Uma reportagem do TechRadar explica que muitas delas so bons alvos
para cibercriminosos, que podem escutar todas as conversas que seu smartphone ou laptop est
mantendo com o mundo externo usando apenas um adaptador Wi-Fi barato e algum software
gratuito.
Portanto, independentemente da existncia da falha, evite essas conexes abertas na hora de
fazer uma transao por um app ou mesmo pelos sites dos bancos. O 3G e o 4G so preferveis
nessas horas. Se o uso for inevitvel, vale apelar para uma rede virtual priavada (VPN) confivel

CONSULTCORP Solues Tecnolgicas

Rua Mateus Leme, 2004 | Centro Cvico | CEP 80530-010 | Curitiba | Paran
Fone (41) 3350-6042 Fax (41) 3350-6101
www.consultcorp.com.br

para criptografar seu trfego as empresas de segurana Avast e F-Secure tm apps pagos do
tipo para iPhones.
Confira abaixo os posicionamentos oficiais enviados pelos bancos:

Bradesco:
O Bradesco esclarece que o ambiente transacional de seus apps seguro e no vulnervel. O
acesso conta e a realizao de transaes ocorrem em ambiente seguro, com dados
criptografados. As transaes realizadas nos Canais Digitais do banco, alm de utilizar senha, so
autenticadas pela Chave de Segurana Bradesco ou pela Biometria da palma da mo, de acordo
com o canal utilizado. No caso dos smartphones, o M-Token, que gera as Chaves de Segurana,
est integrada aos aplicativos. Estas chaves so dinmicas e aleatrias, mudando em segundos.
Informamos ainda que o banco trabalha em um processo contnuo de aprimoramento dos
produtos e servios disponveis aos clientes. Na questo de segurana, por exemplo, possui
sistemas de monitoramento, que analisam as transaes em tempo real.
O Bradesco esclarece que a navegao em seus aplicativos acontece de forma segura.
imprescindvel que o cliente navegue sempre em redes conhecidas e seguras e no instale
certificados no confiveis em seu celular. O banco recomenda ainda que o cliente faa o
download e atualizaes dos apps sempre das lojas oficiais da Apple, Android, Windows e
Blackberry. O Bradesco disponibiliza, desde abril/2014, acesso grtis ao Bradesco Celular, que
possibilita aos clientes das operadoras Claro, Oi, TIM e Vivo acessarem a conta sem gastar seu
plano de dados, evitando assim a necessidade de acesso ao banco por redes Wi-Fi no seguras.

Banco do Nordeste:
No constatamos, na aplicao mvel do Banco do Nordeste, o trnsito de dados de clientes em
texto no codificado. Informamos ainda que o Banco do Nordeste avalia periodicamente seus
aplicativos, dentro da estratgia da busca constante pela evoluo em segurana e melhoria de
seus produtos.

Citibank:
O Citi esclarece que segue as melhores prticas em segurana da informao para que os dados
e as informaes sob sua responsabilidade estejam protegidos, realizando continuamente testes
com esse objetivo.

Assessoria de Imprensa do Banco do Brasil:

O Banco do Brasil esclarece que no identificou qualquer fraude envolvendo seus clientes
relacionada s aes descritas. O BB investe permanentemente no aperfeioamento de seus
ambientes digitais e aplicaes, como forma de aumentar a segurana e a convenincia para seus
clientes, alm de fomentar padres adequados de conduta na navegao.

Caixa:
O man-in-the-midle (MITM) um ataque conhecido pela comunidade de tecnologia, bem como o
fato de que a sua explorao depende de algumas variveis, como acesso e controle do meio de
comunicao entre o internauta e o servidor seguro, concordncia por parte do internauta quanto

CONSULTCORP Solues Tecnolgicas

Rua Mateus Leme, 2004 | Centro Cvico | CEP 80530-010 | Curitiba | Paran
Fone (41) 3350-6042 Fax (41) 3350-6101
www.consultcorp.com.br

 navegao por um site apesar do aviso de certificado invlido ou no confivel, entre outras. As
aes de aperfeioamento em sintonia com as melhores prticas do mercado, sob a tica de
segurana, so uma busca constante nas metas da CAIXA. O banco tem diversas aes em
andamento que visam mitigar ainda mais esses tipos de risco. Entendemos que apesar de todo o
aparato tecnolgico de segurana, sempre ser necessrio reforarmos a conscientizao dos
internautas quanto aos perigos existentes com o uso de mquinas de acesso pblico, pontos de
acesso wifi pblicos, bem como aceitar certificados invlidos ou no confiveis para navegao.

HSBC:
O HSBC tem vrias camadas de segurana que se sobrepem e garantem total integridade no
ambiente virtual. Adicionalmente, procedimentos de controle so implementados diariamente aos
quais os clientes tm acesso com uma atualizao de verso. O HSBC Brasil no tem registro de
ataques virtuais a partir do mobile e garante confiabilidade no conjunto de procedimentos de
segurana com testes peridicos executados por empresas idneas e com reputao
internacional.
A ConsultCorp distribui F-Secure no Brasil. Mais informaes acesse o site
www.consultcorp.com.br

CONSULTCORP Solues Tecnolgicas

Rua Mateus Leme, 2004 | Centro Cvico | CEP 80530-010 | Curitiba | Paran
Fone (41) 3350-6042 Fax (41) 3350-6101
www.consultcorp.com.br