Desbloqueio do aplicativo com senha da conta é realidade

Boa noite, pessoal,

Fuçando aqui no aplicativo, descobri que, após recusar algumas vezes o acesso ao aplicativo usando a senha do celular ou a biometria, o Nubank permite o login com a senha da conta (versão 7.86.2).


Apesar do aplicativo não permitir o reset de senha a partir dessa tela (segunda imagem), ainda assim seria possível resetar a senha, por exemplo, pelo site do banco e, enfim, utilizar a senha para o login.

Realizando alguns testes, verifiquei que dessa forma é possível também burlar o uso da biometria ou da senha do celular depois de reinstalar o aplicativo do Nubank; ou seja, o problema das contas invadidas a partir de celulares roubados desbloqueados continua, só faltou autorizar o dispositivo.

Lembremos que, aparentemente, o acesso ao aplicativo do Nubank sem autenticação do smartphone havia sido corrigido:

No entanto, não é mais possível acessar o aplicativo do banco digital se houver alguma senha ativada no celular roubado. Atualmente, mesmo reinstalando o app ou limpando seus dados, a impressão digital, reconhecimento facial ou senha do celular é solicitada para fazer login no aplicativo do Nubank.

Porém, parece que não.

7 Likes

Mas se não autorizou o dispositivo, fica impossível movimentar valores, antes o aplicativo era instalado e já estava autorizado.

4 Likes

Isso é no caso da desinstalação do aplicativo. Não parece ser preciso desinstalar o aplicativo pra acessá-lo com a senha da conta apenas.

2 Likes

Olá @lucasresck, tudo bem?

A comunidade é exatamente para isso, compartilhar esses detalhes que as vezes nós achamos por acaso.

3 Likes

Desinstalação ou apagar os dados do app. Remove a autorização do smartphone.

Achei bem interessante essa novidade de poder entrar usando a senha de acesso. Mas preferia que usasse a senha de acesso logo de início, ao invés da senha de desbloqueio do smartphone.

Poderia ser que nem outros bancos por exemplo: a biometria + senha de acesso.

Qualquer pessoa que souber a senha de desbloqueio, desenho ou pin poderá abrir o Nubank.

2 Likes

Não, amigo, essa situação de não exigir a autenticação do smartphone foi o grande problema que o Nubank teve que lidar há algumas semanas. O problema de se confiar apenas na senha da conta é que ela é resetável por email.

Imagine a seguinte situação: roubo de celular com a tela desbloqueada. Agora imagine que o bandido resete a senha da conta do Nubank usando o email logado no próprio celular, acesse o aplicativo com essa senha e verifique a senha de quatro dígitos. Agora ele consegue transferir todo seu dinheiro.

3 Likes

Eles deixam a opção de resetar sem ter a conta logada, esse é o problema. Tem outros bancos que não dão essa opção na tela de login e você tem que digitar uma senha de 8 dígitos ou por a biometria.

Quando eu tinha conta nessas bancos eu anotava a senha de acesso no papel e guardava pra não esquecer. É possível remover o desbloqueio de tela do celular com ele bloqueado, existe tutorial na internet. Se o cara remove a senha de desbloqueio e depois trocar, aí ferrou.

2 Likes

Se for conta Google é possível deslogar sua conta pelo PC. Não é grande coisa mais ajuda, ainda mais se tiver verificação em duas etapas (com o SMS desativado).

Praticamente qualquer app hoje em dia oferece o reset de senha via e-mail. Qual seria a sua sugestão? Pois, lembremos que o Nubank é utilizado por todo tipo de idade e qualquer etapa muito burocrática será um problema grande pra muita gente.

Minha sugestão é utilizar apps de e-mail que oferecem proteção ao abrir o aplicativo e não usar os padrões que não oferecem a senha para o acesso (gmail ou mail da apple). Alguns dos que recomendo: Outlook, Spark, Yahoo…

6 Likes

Boa sugestão. Ou também pode deixar o email cadastrado no Nubank deslogado do celular.

Se precisar do código de acesso. Basta abrir o modo anônimo no navegador, logar na conta e pegar o código. A desvantagem é ter que percorrer todo esse caminho para entrar no Nubank caso faça a reinstalação do aplicativo ou apague os dados do app.

Mas, seu email não ficará logado no smartphone, caso seja furtado, o meliante não terá acesso ao reset da senha.

4 Likes

nuss, verdade. ia dificultar a vida dos golpistas!

Tem uma falha de segurança aí, tem como mudar a senha pelo “site” e entrar no app com a senha do “nubank” tem que tirar essa função de logar pela senha do nubank e tirar opção de esqueceu senha pelo site.

Desconheço esses tutoriais. Você tem alguma referência?

Não usar a senha da conta resetada pra login em um aparelho autorizado, como, salve engano, o Nubank já fazia.

Então, cara, mas aí você deixa pro usuário ter que se precaver em relação a um possível incidente de segurança. “Ah, mas e se acessarem meu email? Vou colocar um bloqueio só pro aplicativo de email.” “Ah, mas e se acessarem o email logado no navegador? Vou deslogar o email do navegador também.” “Ah, mas e se tentarem resetar a senha do meu email usando o telefone? Vou ter que, sei lá, remover o celular como um fator de segurança da conta de email.” "Aí você fica em um processo iterativo de solução de gaps de segurança que poderiam, a princípio, ser todos resolvidos na raiz através do uso obrigatório do bloqueio de tela, considerando que bandido só quer saber de Nubank, BB e WhatsApp no seu celular.

Ficar resolvendo esses pontos soltos porque um app de banco permite resetar a senha por email e depois fazer login é essencialmente uma gambiarra: é não definitivo, não sistemático, difícil de decorar e não escalável.

4 Likes

Esse aqui é um que funciona. Já consegui desbloquear um smartphone de um colega que esqueceu a senha e não queria formatar ainda por falta de tempo para configurar e instalar apps.

Em todos as dicas aqui já consideramos que o usuário use um bloqueio de tela. Mas geralmente usam um fácil como o “padrão” (aquele desenho que você faz) ou PIN numérico. Poucos usam a senha alfanumérica.

Aqui estamos falando de camada extras de segurança para acesso a conta. Se acessar a conta pelo modo anônimo por exemplo, assim que fechar o app do navegador já apaga os dados da janela anônima. Ou dar um jeito de bloquear o acesso ao app gmail, pra evitar que o meliante acesse o link para alterar a senha. Basta o meliante saber seu CPF para ter acesso a solicitação do reset da senha. Esse documento é muito importante e está até inserido na indentidade por exemplo e pode ser facilmente encontrado na hora do furto ou assalto.

1 Like

Nos dispositivos antigos pode funcionar. Hoje em dia não é mais possível fazer isso nas versões do Android mais novas. Inclusive os dados armazenados no dispositivo são criptografados.


Tem certeza que após o reset de senha o dispositivo continua confiável? Imagino que o usuário será – ou deveria ser – obrigado a autorizar novamente o dispositivo.


Por aqui eu não deixo logado o email cadastrado da conta no celular. Isso já inviabiliza os golpes.

4 Likes

Quando você usa a senha resetada ao invés do bloqueio de tela, o aplicativo desloga, mas o dispositivo não é desautorizado. Fiz um teste aqui agora resetando a senha por email e pulando o bloqueio de tela com a senha da conta e consegui acessar a senha de 4 dígitos e fazer um PIX de baixo valor. Testa aí, é chocante…

Em um dos meus testes ontem aconteceu a desautorização que você comentou, mas isso não é garantido de acontecer sempre.