Encontrado vulnerabilidade no plugin Warsaw usando pelos principais bancos brasileiros

O plugin de segurança Warsaw, utilizado por bancos como Itaú, Caixa Econômica Federal e Banco do Brasil, para acessar o internet banking, tem falhas que permite o vazamento de dados.

Ao visualizar a falha um criminoso poderia colocar no plugin um vírus para induzir um usuário a fornecer informações pessoais. A vulnerabilidade foi descoberta pelo consultor de segurança Joaquim Espinhara, que falou do problema no dia 19 de abril, mas não teve respostas. Os testes feitos na versão para OS X do plugin, Que instala o WebSocket, na máquina do usuário e permite que qualquer pagina maliciosa, possa fazer requisições ao software bancário.

Por meio de código, que obtém informações fornecidas pelo plugin, um hacker pode saber qual e o banco no qual a vítima está a utilizar remotamente. É possível desenvolver malwares para clientes de um banco especifico. Uma das possibilidades e levar o usuário para uma outra página que seja idêntica a da instituição bancaria.

São vários bancos que usam o plugin como alternativa de solução bancária, exemplos são: Banco da Amazônia, Banco do Nordeste, Safra, Caixa Econômica Federal, Banco de Brasília, Sicredi, Banese, Safra e Banco do Brasil.

Essa não é primeira vez que este sistema de segurança foi criticado. Em abril de 2015, foi descoberto um bug na versão 1.5.1 do plugin que vetava o acesso a sites como Facebook, UOL, Globo.com e Google. Além disso o plugin e uma tecnologia obsoleta: o NPAPI, considerado prejudicial e inseguro ao desempenho do navegador, e o Chrome não suporta as últimas versões do Warsaw.