Software de declaração do Imposto de Renda tinha brecha grave de segurança

Software de declaração do Imposto de Renda tinha brecha grave de segurança

Por Felipe Demartini | Editado por Claudio Yuge | 09 de Setembro de 2021 às 20h00

Uma brecha no software de declaração do Imposto de Renda de Pessoa Física (IRPF 2021) pode ter exposto os usuários a riscos, principalmente durante a utilização em redes compartilhadas ou inseguras. A falha estava no sistema de verificação de atualizações da aplicação, com checagens e downloads realizados sem criptografia e verificações adicionais, o que permitia a um atacante inserir instaladores maliciosos que se passariam por updates do programa oficial.

A falha foi denunciada ao Canaltech pelo especialista em segurança da informação Gabriel Nunes, que notou o problema após realizar a própria declaração, cujo prazo foi finalizado no dia 31 de maio. De acordo com ele, a brecha aparecia tanto na versão Windows quanto Linux do IRPF 2021 e poderia expor seus usuários a ataques do tipo man in the middle, uma vez que a entrega de declarações não era possível sem que o utilizador estivesse rodando a versão mais recente.

Os golpes desse tipo, como o nome já diz, consistem na interceptação da comunicação entre duas partes envolvidas em uma conexão, seja para coleta de dados, seja para inserção de códigos maliciosos no lugar de informações legítimas. É justamente o que seria possível na brecha detectada no software da Receita Federal, que fazia essa comunicação sem os devidos protocolos de segurança ou verificações para garantir que os arquivos baixados efetivamente vieram das fontes originais.

Quer ficar por dentro das melhores notícias de tecnologia do dia? Acesse e se inscreva no nosso novo canal no youtube, o Canaltech News. Todos os dias um resumo das principais notícias do mundo tech para você!

“Esse ataque, apesar de ser extremamente grave, está limitado apenas ao escopo da subrede do usuário, e não pode ser realizado por meio da internet ou de forma remota”, explica Nunes. Ele indica que um atacante precisaria estar na mesma rede que a vítima para que a interceptação dos dados pudesse ser bem-sucedida. Em uma prova de conceito, ele exibe como seria capaz de gerar uma conexão reversa ao manipular arquivos da atualização legítima do software da Receita Federal, por meio dos quais códigos maliciosos poderiam ser inseridos.

Em prova de conceito, especialista demonstrou como seria possível inserir arquivos manipulados em atualização do IRPF 2021, que não realiza checagens de dados nem faz download por meio de conexões seguras (Imagem: Captura de tela/Felipe Demartini/Canaltech)

Na análise, o especialista não apenas foi capaz de manipular um arquivo zipado fornecido originalmente pela Receita Federal, como também observou que o software de declaração do Imposto de Renda não realizou nenhum tipo de checagem e apenas executou o conteúdo do pacote baixado. Com isso, seriam abertas as portas para explorações maliciosas que poderiam envolver a instalação de malwares e a interceptação de dados sensíveis dos usuários.

De acordo com o especialista, uma exploração dessa vulnerabilidade poderia acontecer em redes abertas ou, ainda que fechadas, compartilhadas por diferentes usuários, como no caso de um café, um hotel ou uma academia, por exemplo. “Realizar um ataque do tipo man in the middle é extremamente simples, por isso, é importante evitar o tráfego de dados sensíveis em uma conexão pública”, completa Nunes.

Intruso no caminho

O uso de diferentes camadas de proteção pode evitar a realização de ataques desse tipo. É o que aponta Daniel Barbosa, especialista em segurança da informação e pesquisador da ESET Brasil. Segundo ele, uma abordagem preventiva costuma ser a melhor solução para contornar, até mesmo, vulnerabilidades desse tipo.

Ele cita como boas práticas o uso de softwares legítimos e de empresas reconhecidas, que estejam com os protocolos de segurança ativos e versões mais recentes instaladas. Ao mesmo tempo, vale a pena manter soluções de proteção como antivírus, sempre ativas e atualizadas, já que elas são capazes de detectar ameaças mais comuns. “[As soluções] conseguem proteger o dispositivo caso softwares mal-intencionados tentem ser executados, além de identificar anomalias na comunicação da rede, o que impede ataques do tipo man in the middle”, finaliza.

Ataques do tipo man in the middle acontecem, normalmente, em redes inseguras, como as de aeroportos ou restaurantes, nas quais um atacante é capaz de interceptar comunicações ou manipular pacotes desprotegidos (Imagem: Divulgação/ESET)

Nunes também reforça a orientação quanto ao uso de redes pouco seguras, que devem ser evitadas durante a realização de operações sensíveis ou acesso a sites importantes. “Pelo baixo nível de segurança, os dados [dos usuários] podem estar em risco, ou pior, um criminoso pode conseguir acesso direto a equipamentos, com [a abertura] mantida mesmo depois da desconexão”, aponta o pesquisador. De acordo com ele, nestes espaços, o ideal é sempre utilizar plataformas que tenham conexões seguras, como o protocolo HTTPS, e sites sabidamente protegidos.

Nunes reforça a necessidade de protocolos desse tipo quando fala, especificamente, do software de declaração do Imposto de Renda. A ideia é que, para a versão lançada para as declarações do ano que vem, os responsáveis utilizem criptografia SSL sobre a conexão HTTP, além de verificar o certificado da conexão realizada. “Também é interessante implementar algum sistema de verificação para garantir que [a atualização] tenha sido efetivamente baixada do site da Receita”, completa.

O Canaltech tentou contato com a Receita Federal e também com o Serpro (Serviço Federal de Processamento de Dados), responsável pelo desenvolvimento do software IRPF 2021 a partir do dia 8 de junho. A reportagem seguiu critérios de divulgação responsável e só foi receber um retorno em 3 de setembro, quando a RF disse que nãose manifestaria sobre o caso.

Como o prazo de entrega das declarações se encerrou em maio, usuários que ainda tenham o software instalado em suas máquinas não estão vulneráveis aos ataques do tipo man in the middle. A atenção, agora, se volta à versão 2022 da aplicação, ainda não disponibilizada pela Receita Federal. Como o órgão não comentou o caso, também não se sabe se a brecha será corregida para o próximo lançamento do software.

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.