O software de segurança Guardião 30 Horas do Itaú, obrigatório para uso do internet banking, está, segundo o banco, disponível para todos os sistemas. Mas esta não foi a experiência deste colaborador da Linha Defensiva que – por necessidade pessoal, após ser bloqueado de acessar o banco no Linux – realizou um teste mostrando que é possível burlar a obrigatoriedade do Guardião, sendo necessário apenas disfarçar o Linux de Mac OS X – que, apesar de não ter o software, não é bloqueado. O processo requer apenas alguns cliques.
No Linux, usar Itaú como o Firefox do Mac burla instalação do 'Guardião'. (Foto: Reprodução)
O Itaú está usando o Guardião 30 Horas desde 2011, mas a partir de 2012 passou a ser de uso obrigatório para qualquer transação, transferência ou pagamento on-line. Há poucas informações sobre o funcionamento do software, mas o Itaú não é o único a exigir um programa para autorizar as transferências on-line.
Apesar de o software estar em Java, por algum motivo, a instalação falhou no Linux, durante o teste da Linha Defensiva, impedindo correntistas de usarem uma plataforma menos atacada por criminosos para realizar as transferências[1. Não existe histórico público de fraudes bancárias no Linux.].
Vídeos
Linux bloqueado
httpv://www.youtube.com/watch?v=h7Oam0UXE54
Linux, identificado como Mac OS X, é liberado
httpv://www.youtube.com/watch?v=nNSvBxkNklM
A assessoria de imprensa do Itaú informou que todos os sistemas são suportados e todos devem instalar o Guardião:
O Guardião 30 Horas é necessário para efetuar transações que movimentam recursos via internet. Ele é compatível com Mac e Linux e, assim como na plataforma PC, requer a instalação e atualização do Java Virtual Machine. Para qualquer dúvida, o cliente pode entrar em contato com o suporte de internet pelo telefone 4004-4828.
Testado no Mac OS 10.7, porém, o acesso ao banco ocorreu normalmente, sem solicitar a instalação do Guardião 30 Horas, mesmo quando efetuados pagamentos e transferências.
Em outro teste, usando o navegador Google Chrome 17.0 em um Linux Ubuntu 11.04, foi ativada a opção de sobrescrever o User Agent para que o navegador se passasse por um Firefox 7.0 para Mac OS X. O user agent é uma frase identificadora do navegador e sistema operacional em uso que todos os sites recebem quando você os acessa.
O acesso ao banco e as transações on-line, no Linux identificado como Mac, ocorreram normalmente, novamente sem que o Guardião 30 Horas fosse sequer mencionado em qualquer parte do acesso.
A assessoria de imprensa do Itaú, quando informada do problema e com acesso aos vídeos acima, no dia 15/03, solicitou uma resposta do departamento responsável. Até esta quinta-feira (5/04), nenhum retorno havia sido dado – nem mesmo se o problema se tratava de uma falha de segurança, comportamento intencional ou erro técnico.
No caso de qualquer retorno da área, a Linha Defensiva havia se comprometido a aguardar até que o problema fosse corrigido para publicar.
Sem resposta, a Linha Defensiva resolveu pela publicação da inconsistência, já que esta pode vir a se manifestar como falha de segurança se os criadores de vírus descobrirem uma forma de a utilizarem para interferir com o Guardião.
Outros problemas com user agent
Um usuário relatou no Facebook uma “falha” no Bradesco porque era possível usar o site destinado a smartphones por meio de um navegador comum, desde que seja trocado o user agent para um identificador usado por navegadores de celular. A única diferença nesse acesso é que não é solicitado um código do cartão de segurança para o login. As senhas extras são somente solicitadas para transferências; no login de smartphones é preciso apenas a senha de 4 dígitos.
No caso do Bradesco, correta ou incorretamente, o comportamento é intencional. O acesso por telefones (seja por ligação ou pelo acesso web de smartphones) exige somente a senha de 4 dígitos. O acesso web comum – que é, na verdade, idêntico ao dos smartphones, exceto pelo user agent diferente -, exige o código extra. Internamente, porém, ele é tratado como outro tipo de acesso. Uma conta autorizada a fazer transferências pela web não está necessariamente autorizada a fazer transferências pelo acesso (web) de smartphones, por exemplo.
Download dos vídeos
Colaborou Altieres Rohr
Linha Defensiva 
Não tive problemas com o Santander, utilizo Ubuntu 11.10. Só foi preciso instalar a ultima versão do Java. Funciona tanto no Firefox quanto no Chromium.
CurtirCurtir
Para acessar o itaú no ubuntu é preciso instalar o java no Google Chrome e depois instalar o guardião.
Pode seguir os procedimentos para instalação do java no Google Chrome em: http://forum.clubedohardware.com.br/tutorial-banco-brasil/983134
CurtirCurtir
A verdade é que a instalação do plugin pode ser bypassada, mesmo no Windows.
Basta mudar o User-Agent do browser para “Ipad” e pronto…
CurtirCurtir
Tomara que não façam absolutamente nada e me deixem trabalhar em PAZ!
PUT* Falta de Sacanagem esse GbPlugin, não deveria existir essa fucking mierda!!!
Essa informação foi bem útil, thanks soor Altieres
CurtirCurtir
Aposto que a linha defensiva instalou o java openjdk e esperou que o guardiao fosse instalado… se sim, amadores.
CurtirCurtir
Não. Se você ler a continuação dessa história, vai saber que o banco realmente não estava instalando o Guardião para todo mundo em todos os sistemas.
http://www.linhadefensiva.org/2012/05/ladrao-de-senhas-usa-truque-para-tentar-burlar-guardiao-do-itau/
CurtirCurtir
O google chrome não aceita mais Java, impossivel instalar nele qualquer aplicação que dependa do Java.
CurtirCurtir