Uma vulnerabilidade no aplicativo do banco Neon foi encontrada na versão 1.6.14, até o momento, a mais recente. Segundo o pesquisador de segurança Rodrigo Laneth, em conversa com o TecMundo, "a falha pode ser explorada por meio de um ataque man-in-the-middle" e, no pior dos casos, um cibercriminoso pode roubar os dados do cartão de crédito de um usuário do banco Neon.
A possibilidade que mais chamou a atenção e que, melhor ilustra o perigo, é a de capturar as informações do cartão virtual (que é débito, mas funciona como crédito)
A vulnerabilidade (CVE-2018–5258) está presente no app para iOS (iPhones e iPads) do banco Neon. "No mês passado, enquanto eu testava o aplicativo do Dropbox, configurei o celular para enviar tráfego através do Burp Proxy, que estava rodando no meu computador. Em um determinado momento, quando o certificado SSL gerado pela ferramenta não estava instalado no meu dispositivo, abri o Neon, e fiquei surpreso ao perceber que ele não apresentou qualquer erro e continuou a efetuar requisições HTTPS direcionadas a domínios do banco através do proxy", conta o pesquisador. "Por curiosidade e por preocupação com a minha segurança como cliente do banco, decidi estudar o problema mais a fundo".
"Após confirmar que um atacante poderia usar a falha para obter dados sensíveis dos usuários do aplicativo, notifiquei o banco. Meu e-mail, enviado para oi@banconeon.com.br — na falta de um canal específico para tratar sobre segurança — no último dia 30 de dezembro, não foi respondido", comentou Laneth. "Após o envio do advisory para a Full Disclosure, recebi um e-mail do Júlio Dário, CTO do Neon, informando que 'o referido bug já estava mapeado em nosso backlog e que a correção já foi efetuada'. No entanto, até o momento da publicação deste texto, não foi lançada uma nova versão do aplicativo na App Store".
O TecMundo entrou em contato com o Neon. O banco comentou que recebeu o contato do pesquisador e enviou o seguinte posicionamento:
"Segurança é uma questão de evolução constante e está diretamente relacionada ao DNA do Banco Neon. Os pontos listados já estavam mapeados e monitorados por equipes dedicadas. Vale ressaltar, também, que não houve nenhuma ocorrência no período e as devidas correções foram aplicadas. Seguimos atentos, em constante melhoria e sempre visando a melhor experiencia do usuário."
Interceptando requisições do Neon com o Burp Proxy
Homem no meio
Essa vulnerabilidade pode ser explorada por um atacante conectado na mesma rede (que pode ser, por exemplo, o WiFi de um restaurante, hotel ou aeroporto) na qual alguém está usando o aplicativo. Ele faria isso utilizando uma técnica conhecida como ARP spoofing. "Um atacante cria uma rede WiFi maliciosa e aguarda que usuários do aplicativo tentem utilizá-lo enquanto estiverem conectados a ela", nota o pesquisador.
Dessa forma, um hacker malicioso poderia obter dados sensíveis do usuário do app, como dados pessoais ou de movimentação bancária, ou até manipular informações exibidas pelo app ao usuário.
Nos testes realizados pelo pesquisador Rodrigo Laneth, a possibilidade que mais chamou a atenção e que, melhor ilustra o perigo, é a de capturar as informações do cartão virtual (que é débito, mas funciona como crédito), incluindo o nome do usuário, o número completo, data de registro, validade e código de segurança (CVV).
- Todos os detalhes da vulnerabilidade foram publicados no Radialle pelo pesquisador.
Categorias
