Bug em Java ameaça segurança de Internet Banking no Brasil

A recém-descoberta falha no padrão Java é uma grave ameaça contra a maioria dos usuários de Internet Banking do País, alertam pesquisadores de segurança.

O problema central é que a maioria dos grandes bancos brasileiros, como Itau, Santander, CEF e Banco do Brasil, exige a instalação do Java para permitir o acesso aos serviços online. “Essa exigência começou com os teclados virtuais, feitos para impedir a ação de vírus que gravam a digitação no micro”, explica o analista-senior de malware da Kasperky Lab no Brasil, Fabio Assolini. “Só que agora ela é um tiro no pé, pois está sendo usada para roubar contas”.

O bug do Java é do tipo 0-day – desconhecido e ainda sem correção. Os ataques contra os usuários são feitos por meio de sites contaminados com o código malicioso (exploit). Para ser infectado, basta visitar o endereço – caso a máquina não esteja protegida, o processo é automático e silencioso.

Segundo Assolini, o exploit contra o Java, que vem sendo testado desde o final do ano passado, abre uma porta no sistema do usuário para a injeção de um vírus. “No Brasil, 99% dos cibercriminosos optam por instalar um Trojan bancário“, diz. Esse malware captura as credenciais do internauta e as manda para o cracker.

“Há múltiplas redes de publicidade (ad networks) redirecionando para sites infectados, ampliando o problema. Encontramos anúncios em sites legítimos, especialmente na Inglaterra, Brasil e Rússia, que levam para domínios com o exploit. Isso inclui sites de previsão do tempo, notícias e, claro, pornografia”, disse o pesquisador Kurt Baumgartner, da Kaspersky Lab.

Usuários que têm versões atualizadas de bons antivírus não correm risco, explica o analista. No entanto, muitos dos 42 milhões de internautas brasileiros que usam Internet Banking são alvos fáceis dessa vulnerabilidade. “Outro problema é que o Java não tem uma política de update automático, como o do navegador Chrome”, aponta.

Use dois navegadores
A principal medida para evitar qualquer problema é simplesmente desinstalar o Java. Para isso, basta ir ao Painel de Controle do Windows, selecionar o ícone Adicionar-Remover Programas e clicar sobre o nome do programa, que aparece como Java(TM).

No entanto, essa solução não é válida para quem tem conta em um banco que exige o padrão. Neste caso, a dica é o uso de dois navegadores, recomenda Assolini. Um, com o Java habilitado, exclusivamente para o acesso ao Internet Banking. O outro para a navegação “normal”.

Como desabilitar
Para desativar os plugins Java, basta acessar as configurações do navegador. Veja como:

No Chrome, digite chrome://plugins na barra de endereços. Localize o Java(TM) e clique em desativar.

No Firefox, clique no botão Firefox (campo superior esquerdo)-Complementos. Na nova janela, selecione Plugins. Localize o Java(TM) Platform SE e clique em Desativar.

No Internet Explorer 9, clique no símbolo de uma roda dentada no canto superior direito e selecione Opções da Internet. Clique na caixa Nível personalizado e procure o item Scripts de miniaplicativos Java. Desabilite.