O software de segurança Guardião 30 Horas do Itaú, obrigatório para uso do internet banking, está, segundo o banco, disponível para todos os sistemas. Mas esta não foi a experiência deste colaborador da Linha Defensiva que – por necessidade pessoal, após ser bloqueado de acessar o banco no Linux – realizou um teste mostrando que é possível burlar a obrigatoriedade do Guardião, sendo necessário apenas disfarçar o Linux de Mac OS X – que, apesar de não ter o software, não é bloqueado. O processo requer apenas alguns cliques.
No Linux, usar Itaú como o Firefox do Mac burla instalação do 'Guardião'. (Foto: Reprodução)
Apesar de o software estar em Java, por algum motivo, a instalação falhou no Linux, durante o teste da Linha Defensiva, impedindo correntistas de usarem uma plataforma menos atacada por criminosos para realizar as transferências1.
A assessoria de imprensa do Itaú informou que todos os sistemas são suportados e todos devem instalar o Guardião:
O Guardião 30 Horas é necessário para efetuar transações que movimentam recursos via internet. Ele é compatível com Mac e Linux e, assim como na plataforma PC, requer a instalação e atualização do Java Virtual Machine. Para qualquer dúvida, o cliente pode entrar em contato com o suporte de internet pelo telefone 4004-4828.Testado no Mac OS 10.7, porém, o acesso ao banco ocorreu normalmente, sem solicitar a instalação do Guardião 30 Horas, mesmo quando efetuados pagamentos e transferências.
Em outro teste, usando o navegador Google Chrome 17.0 em um Linux Ubuntu 11.04, foi ativada a opção de sobrescrever o User Agent para que o navegador se passasse por um Firefox 7.0 para Mac OS X. O user agent é uma frase identificadora do navegador e sistema operacional em uso que todos os sites recebem quando você os acessa.
O acesso ao banco e as transações on-line, no Linux identificado como Mac, ocorreram normalmente, novamente sem que o Guardião 30 Horas fosse sequer mencionado em qualquer parte do acesso.
A assessoria de imprensa do Itaú, quando informada do problema e com acesso aos vídeos acima, no dia 15/03, solicitou uma resposta do departamento responsável. Até esta quinta-feira (5/04), nenhum retorno havia sido dado – nem mesmo se o problema se tratava de uma falha de segurança, comportamento intencional ou erro técnico.
No caso de qualquer retorno da área, a Linha Defensiva havia se comprometido a aguardar até que o problema fosse corrigido para publicar.
Sem resposta, a Linha Defensiva resolveu pela publicação da inconsistência, já que esta pode vir a se manifestar como falha de segurança se os criadores de vírus descobrirem uma forma de a utilizarem para interferir com o Guardião.
Outros problemas com user agent
Um usuário relatou no Facebook uma “falha” no Bradesco porque era possível usar o site destinado a smartphones por meio de um navegador comum, desde que seja trocado o user agent para um identificador usado por navegadores de celular. A única diferença nesse acesso é que não é solicitado um código do cartão de segurança para o login. As senhas extras são somente solicitadas para transferências; no login de smartphones é preciso apenas a senha de 4 dígitos.No caso do Bradesco, correta ou incorretamente, o comportamento é intencional. O acesso por telefones (seja por ligação ou pelo acesso web de smartphones) exige somente a senha de 4 dígitos. O acesso web comum – que é, na verdade, idêntico ao dos smartphones, exceto pelo user agent diferente -, exige o código extra. Internamente, porém, ele é tratado como outro tipo de acesso. Uma conta autorizada a fazer transferências pela web não está necessariamente autorizada a fazer transferências pelo acesso (web) de smartphones, por exemplo.
0 comentários:
Postar um comentário