O software de segurança Guardião 30 Horas do Itaú, obrigatório para uso do internet banking, está, segundo o banco, disponível para todos os sistemas. Mas esta não foi a experiência deste colaborador da Linha Defensiva que – por necessidade pessoal, após ser bloqueado de acessar o banco no Linux – realizou um teste mostrando que é possível burlar a obrigatoriedade do Guardião, sendo necessário apenas disfarçar o Linux de Mac OS X – que, apesar de não ter o software, não é bloqueado. O processo requer apenas alguns cliques.

No Linux, usar Itaú como o Firefox do Mac burla instalação do 'Guardião'. (Foto: Reprodução)

O Itaú está usando o Guardião 30 Horas desde 2011, mas a partir de 2012 passou a ser de uso obrigatório para qualquer transação, transferência ou pagamento on-line. Há poucas informações sobre o funcionamento do software, mas o Itaú não é o único a exigir um programa para autorizar as transferências on-line.

Apesar de o software estar em Java, por algum motivo, a instalação falhou no Linux, durante o teste da Linha Defensiva, impedindo correntistas de usarem uma plataforma menos atacada por criminosos para realizar as transferências[1. Não existe histórico público de fraudes bancárias no Linux.].

Vídeos

Linux bloqueado

httpv://www.youtube.com/watch?v=h7Oam0UXE54

Linux, identificado como Mac OS X, é liberado

httpv://www.youtube.com/watch?v=nNSvBxkNklM


A assessoria de imprensa do Itaú informou que todos os sistemas são suportados e todos devem instalar o Guardião:

O Guardião 30 Horas é necessário para efetuar transações que movimentam recursos via internet. Ele é compatível com Mac e Linux e, assim como na plataforma PC, requer a instalação e atualização do Java Virtual Machine. Para qualquer dúvida, o cliente pode entrar em contato com o suporte de internet pelo telefone 4004-4828.

Testado no Mac OS 10.7, porém, o acesso ao banco ocorreu normalmente, sem solicitar a instalação do Guardião 30 Horas, mesmo quando efetuados pagamentos e transferências.

Em outro teste, usando o navegador Google Chrome 17.0 em um Linux Ubuntu 11.04, foi ativada a opção de sobrescrever o User Agent para que o navegador se passasse por um Firefox 7.0 para Mac OS X. O user agent é uma frase identificadora do navegador e sistema operacional em uso que todos os sites recebem quando você os acessa.

O acesso ao banco e as transações on-line, no Linux identificado como Mac, ocorreram normalmente, novamente sem que o Guardião 30 Horas fosse sequer mencionado em qualquer parte do acesso.

A assessoria de imprensa do Itaú, quando informada do problema e com acesso aos vídeos acima, no dia 15/03, solicitou uma resposta do departamento responsável. Até esta quinta-feira (5/04), nenhum retorno havia sido dado – nem mesmo se o problema se tratava de uma falha de segurança, comportamento intencional ou erro técnico.

No caso de qualquer retorno da área, a Linha Defensiva havia se comprometido a aguardar até que o problema fosse corrigido para publicar.

Sem resposta, a Linha Defensiva resolveu pela publicação da inconsistência, já que esta pode vir a se manifestar como falha de segurança se os criadores de vírus descobrirem uma forma de a utilizarem para interferir com o Guardião.

Outros problemas com user agent

Um usuário relatou no Facebook uma “falha” no Bradesco porque era possível usar o site destinado a smartphones por meio de um navegador comum, desde que seja trocado o user agent para um identificador usado por navegadores de celular. A única diferença nesse acesso é que não é solicitado um código do cartão de segurança para o login. As senhas extras são somente solicitadas para transferências; no login de smartphones é preciso apenas a senha de 4 dígitos.

No caso do Bradesco, correta ou incorretamente, o comportamento é intencional. O acesso por telefones (seja por ligação ou pelo acesso web de smartphones) exige somente a senha de 4 dígitos. O acesso web comum – que é, na verdade, idêntico ao dos smartphones, exceto pelo user agent diferente -, exige o código extra. Internamente, porém, ele é tratado como outro tipo de acesso. Uma conta autorizada a fazer transferências pela web não está necessariamente autorizada a fazer transferências pelo acesso (web) de smartphones, por exemplo.

Download dos vídeos


Colaborou Altieres Rohr

Anúncios

Escrito por Redação Linha Defensiva

7 comentários

  1. Não tive problemas com o Santander, utilizo Ubuntu 11.10. Só foi preciso instalar a ultima versão do Java. Funciona tanto no Firefox quanto no Chromium.

    Curtir

    Responder

  2. Para acessar o itaú no ubuntu é preciso instalar o java no Google Chrome e depois instalar o guardião.

    Pode  seguir os procedimentos para instalação do java no Google Chrome em: http://forum.clubedohardware.com.br/tutorial-banco-brasil/983134

    Curtir

    Responder

  3. Danielgbatista 09/04/2012 às 12:17

    A verdade é que a instalação do plugin pode ser bypassada, mesmo no Windows.
    Basta mudar o User-Agent do browser para “Ipad” e pronto…

    Curtir

    Responder

  4. Tomara que não façam absolutamente nada e me deixem trabalhar em PAZ!

    PUT* Falta de Sacanagem esse GbPlugin, não deveria existir essa fucking mierda!!!
    Essa informação foi bem útil, thanks soor Altieres

    Curtir

    Responder

  5. Force Within 28/07/2012 às 11:58

    Aposto que a linha defensiva instalou o java openjdk e esperou que o guardiao fosse instalado… se sim, amadores. 

    Curtir

    Responder

    1. Não. Se você ler a continuação dessa história, vai saber que o banco realmente não estava instalando o Guardião para todo mundo em todos os sistemas.
      http://www.linhadefensiva.org/2012/05/ladrao-de-senhas-usa-truque-para-tentar-burlar-guardiao-do-itau/ 

      Curtir

      Responder

  6. Geraldo de Azevedo 03/10/2015 às 12:59

    O google chrome não aceita mais Java, impossivel instalar nele qualquer aplicação que dependa do Java.

    Curtir

    Responder

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.