Software de declaração do Imposto de Renda tinha brecha grave de segurança

Uma brecha no software de declaração do Imposto de Renda de Pessoa Física (IRPF 2021) pode ter exposto os usuários a riscos, principalmente durante a utilização em redes compartilhadas ou inseguras. A falha estava no sistema de verificação de atualizações da aplicação, com checagens e downloads realizados sem criptografia e verificações adicionais, o que permitia a um atacante inserir instaladores maliciosos que se passariam por updates do programa oficial.

• O Brasil está preparado para ataques contra empresas de infraestrutura?
• 44% das equipes brasileiras de TI se arriscam ao adiar atualizações de softwares
• 81,2% dos brasileiros criam senhas fortes, mas falham em outros hábitos digitais

A falha foi denunciada ao Canaltech pelo especialista em segurança da informação Gabriel Nunes, que notou o problema após realizar a própria declaração, cujo prazo foi finalizado no dia 31 de maio. De acordo com ele, a brecha aparecia tanto na versão Windows quanto Linux do IRPF 2021 e poderia expor seus usuários a ataques do tipo man in the middle, uma vez que a entrega de declarações não era possível sem que o utilizador estivesse rodando a versão mais recente.

Os golpes desse tipo, como o nome já diz, consistem na interceptação da comunicação entre duas partes envolvidas em uma conexão, seja para coleta de dados, seja para inserção de códigos maliciosos no lugar de informações legítimas. É justamente o que seria possível na brecha detectada no software da Receita Federal, que fazia essa comunicação sem os devidos protocolos de segurança ou verificações para garantir que os arquivos baixados efetivamente vieram das fontes originais.

“Esse ataque, apesar de ser extremamente grave, está limitado apenas ao escopo da subrede do usuário, e não pode ser realizado por meio da internet ou de forma remota”, explica Nunes. Ele indica que um atacante precisaria estar na mesma rede que a vítima para que a interceptação dos dados pudesse ser bem-sucedida. Em uma prova de conceito, ele exibe como seria capaz de gerar uma conexão reversa ao manipular arquivos da atualização legítima do software da Receita Federal, por meio dos quais códigos maliciosos poderiam ser inseridos.

Na análise, o especialista não apenas foi capaz de manipular um arquivo zipado fornecido originalmente pela Receita Federal, como também observou que o software de declaração do Imposto de Renda não realizou nenhum tipo de checagem e apenas executou o conteúdo do pacote baixado. Com isso, seriam abertas as portas para explorações maliciosas que poderiam envolver a instalação de malwares e a interceptação de dados sensíveis dos usuários.

De acordo com o especialista, uma exploração dessa vulnerabilidade poderia acontecer em redes abertas ou, ainda que fechadas, compartilhadas por diferentes usuários, como no caso de um café, um hotel ou uma academia, por exemplo. “Realizar um ataque do tipo man in the middle é extremamente simples, por isso, é importante evitar o tráfego de dados sensíveis em uma conexão pública”, completa Nunes.

Intruso no caminho

O uso de diferentes camadas de proteção pode evitar a realização de ataques desse tipo. É o que aponta Daniel Barbosa, especialista em segurança da informação e pesquisador da ESET Brasil. Segundo ele, uma abordagem preventiva costuma ser a melhor solução para contornar, até mesmo, vulnerabilidades desse tipo.

Ele cita como boas práticas o uso de softwares legítimos e de empresas reconhecidas, que estejam com os protocolos de segurança ativos e versões mais recentes instaladas. Ao mesmo tempo, vale a pena manter soluções de proteção como antivírus, sempre ativas e atualizadas, já que elas são capazes de detectar ameaças mais comuns. “[As soluções] conseguem proteger o dispositivo caso softwares mal-intencionados tentem ser executados, além de identificar anomalias na comunicação da rede, o que impede ataques do tipo man in the middle”, finaliza.

Nunes também reforça a orientação quanto ao uso de redes pouco seguras, que devem ser evitadas durante a realização de operações sensíveis ou acesso a sites importantes. “Pelo baixo nível de segurança, os dados [dos usuários] podem estar em risco, ou pior, um criminoso pode conseguir acesso direto a equipamentos, com [a abertura] mantida mesmo depois da desconexão”, aponta o pesquisador. De acordo com ele, nestes espaços, o ideal é sempre utilizar plataformas que tenham conexões seguras, como o protocolo HTTPS, e sites sabidamente protegidos.

Nunes reforça a necessidade de protocolos desse tipo quando fala, especificamente, do software de declaração do Imposto de Renda. A ideia é que, para a versão lançada para as declarações do ano que vem, os responsáveis utilizem criptografia SSL sobre a conexão HTTP, além de verificar o certificado da conexão realizada. “Também é interessante implementar algum sistema de verificação para garantir que [a atualização] tenha sido efetivamente baixada do site da Receita”, completa.

O Canaltech tentou contato com a Receita Federal e também com o Serpro (Serviço Federal de Processamento de Dados), responsável pelo desenvolvimento do software IRPF 2021 a partir do dia 8 de junho. A reportagem seguiu critérios de divulgação responsável e só foi receber um retorno em 3 de setembro, quando a RF disse que nãose manifestaria sobre o caso.

Como o prazo de entrega das declarações se encerrou em maio, usuários que ainda tenham o software instalado em suas máquinas não estão vulneráveis aos ataques do tipo man in the middle. A atenção, agora, se volta à versão 2022 da aplicação, ainda não disponibilizada pela Receita Federal. Como o órgão não comentou o caso, também não se sabe se a brecha será corregida para o próximo lançamento do software.