En el navegador web S-Protect, que está destinado a permitir la banca online segura en las cajas de ahorros, el fabricante Coronic ha sellado algunas de las vulnerabilidades descubiertas por c’t. Según las promesas publicitarias de las cajas de ahorros y del fabricante, el navegador también debería permitir la banca online segura en los equipos infectados. Sin embargo, el examen del navegador por parte de c’t reveló varias deficiencias que hicieron que esta promesa pareciera cuestionable.
Desde entonces, la compañía Coronic ha lanzado la versión 5.4.18.0 actualizada de S-Protect, cuyo objetivo es corregir las fallas descubiertas por c’t. También tomó una posición en el blog de la empresa. También hubo cambios en las declaraciones publicitarias en el sitio web del fabricante.
Revisión de S-Protect
El equipo de investigación de c’t ha revisado la versión actualizada para ver si y cuáles de las brechas de seguridad que informó se han cerrado mientras tanto. Coronic anuncia en el blog que en él se ha cerrado “el hueco para clasificar las pulsaciones de teclas”. Sin embargo, la solución es incompleta. El script de prueba de registro de teclas de c’t funcionó de nuevo con solo un ajuste mínimo: en lugar de «teclas abajo», ahora respondía a «teclas arriba».
Otra vulnerabilidad fue una verificación de firma faltante o defectuosa, que permitió a c’t reemplazar un archivo ejecutable del directorio de trabajo de S-Protect con su propio archivo sin firmar. Esto lo llevó a cabo anteriormente S-Protect. Coronic ha corregido este error de manera comprensible.
Además, la compañía ahora ha extendido la protección de captura de pantalla de S-Protect al teclado virtual. Este teclado en pantalla está destinado a proteger contra el registro de teclas, pero hasta ahora las entradas se pueden registrar con medios simples usando capturas de pantalla. Debido a la protección, el teclado ahora aparece ennegrecido en las grabaciones. Sin embargo, este ennegrecimiento se puede prevenir, como ya no se documentó en el análisis original.
Argumentos al acecho
Los argumentos de Coronic en la declaración no siempre funcionan. Coronic explica, por ejemplo, que cuando el contenido de la ventana se guardó como PDF con una conexión de mantenimiento remoto, el ataque ya se había producido antes de que se instalara el mantenimiento remoto. Así es, y exactamente la situación que corresponde a la promesa publicitaria original: un atacante se ha infiltrado en la computadora, pero la banca en línea con S-Protect aún debería ser segura.
El fabricante de S-Protect también escribe en su blog: «Otro punto de crítica es encontrar una contraseña conocida en la memoria principal. Si ya se conoce la contraseña, el ataque ya se ha producido». Esta afirmación plantea más preguntas de las que responde. Porque aparentemente el fabricante no sabe que S-Protect almacena los datos de acceso bancario según un patrón específico en la memoria principal cuando el usuario inicia sesión en un banco. Con este patrón, c’t pudo encontrar los datos de acceso de manera reproducible en texto sin formato, incluso cuando usaba S-Protect 5.4.18.0 sin tener que buscar el nombre de usuario o el PIN de acceso.
Aparentemente, Coronic no está muy entusiasmado con el informe del equipo de investigación de c’t: «Las declaraciones en el artículo son dudosas o engañosas. El producto, su objetivo y su función no se entendieron correctamente y se reprodujeron incorrectamente». Sin embargo, las promesas publicitarias en el sitio web han sido desactivadas desde entonces por el fabricante.
Los cambios se pueden rastrear utilizando Wayback Machine. Así pasó el estado del 20 de mayo de 2022 «Con los productos PROTECT puedes usar cualquier PC y cualquier dispositivo móvil seguro funciona, incluso si el sistema operativo ya comprometido is.» la versión debilitada desde el 04.06.2022 «Con PROTECT, los productos se pueden usar en cualquier PC más seguro trabajo, incluso si el sistema operativo potencialmente comprometido es.»
Reacciones de las cajas de ahorros
Sparkasse am Niederrhein ya no ofrece el navegador públicamente para todos, sino que ha colocado un inicio de sesión de cliente delante de él. Mientras tanto, como medida de precaución, Kieler Förde Sparkasse ha eliminado la información «que S-Protect permite una banca en línea más segura incluso en computadoras infectadas».
No está claro con qué intensidad la Asociación Alemana de Cajas de Ahorros y Giro (DGSV) verificó el navegador Sparkasse antes de que fuera lanzado para los clientes bancarios. La asociación había explicado a c’t que el equipo de seguridad Sparkassen-Finanzgruppe (S-CERT) verificó S-Protect antes de que se celebrara el acuerdo con el fabricante. Sin embargo, la DSGV dejó abierto el resultado.
Tras otra petición, la Asociación de Cajas de Ahorros ha dado a conocer ahora más detalles. En consecuencia, los expertos en seguridad descubrieron varias deficiencias durante la auditoría de seguridad: «En octubre del año pasado, S-CERT sometió a un examen la versión actual del navegador Protect del fabricante Coronic. Se encontraron debilidades», explicó la DSGV. Según la asociación, estos puntos débiles se han pasado al fabricante para su procesamiento.
A la pregunta de si el fabricante también había eliminado las deficiencias de seguridad descubiertas en su momento, la Asociación de Cajas de Ahorros respondió: «Hasta donde sabemos, el fabricante Coronic ha seguido estas instrucciones». Hasta el momento, la asociación ha dejado sin respuesta si hubo un nuevo examen por parte del S-CERT.
(DMK)
#Sparkasse #browser #SProtect #fabricante #corrige #algunos #errores
Español