Home / Tecnologias / Exclusivo: Nova falha no ConecteSUS valida QR Code falso e exibe dados adulterados

Exclusivo: Nova falha no ConecteSUS valida QR Code falso e exibe dados adulterados

Mais uma falha na verificação de comprovantes de vacinação do aplicativo ConecteSUS surgiu nesta quinta-feira (27). Quando o aplicativo está offline, ele valida QR Codes falsificados e pode exibir até mesmo mensagens adulteradas. A descoberta foi compartilhada com o Tecnoblog com exclusividade. Este é o segundo problema na ferramenta revelado durante esta semana.

  • Como marcar consulta pelo aplicativo do SUS [Conecte SUS]
  • Como emitir o certificado de vacinação da COVID-19 no app ConecteSUS
Aplicativo Conecte SUS/Gabrielle Lancellotti
Aplicativo ConecteSUS (Imagem: Tecnoblog/Gabrielle Lancelotti)

A falha foi encontrada pelo especialista em segurança da informação Conrado Gouvêa. O problema acontece só no Android e é mais restrito a um cenário específico — ao contrário da falha revelada nesta quarta-feira (26), que fazia o aplicativo retornar “OK” para qualquer QR Code lido.

Sem internet, aplicativo não verifica código

O problema acontece ao entrar no aplicativo, desligar as conexões de internet do aparelho e tentar validar um QR Code forjado.

Conrado explica que o QR Code do comprovante de vacinação é um JSON Web Token. Isso quer dizer que ele é um JSON, formato de troca de dados simples, assinado digitalmente.

“Idealmente, [o ConecteSUS] verificaria a assinatura digital, então só JWT válidos seriam reconhecidos como válidos, e teriam dados exibidos na tela”, diz o especialista.

O problema é que, quando está offline, o app não valida essa assinatura e mostra o que quer que esteja no JSON. Assim, dá para forjar um código “criando um JSON no formato esperado pelo app (ou modificando um QR code válido), com uma assinatura aleatória”, conta Conrado.

Reproduzir a falha não é tão simples. Como dissemos, ela só ocorre no Android. É preciso abrir o ConecteSUS ainda conectado à Internet, porque o app baixa um arquivo necessário para as verificações — sem ele, todas falham. Depois, com o Wi-Fi e o 4G desligados, é possível ler o QR Code falsificado: o aplicativo exibe as informações nele registradas.

Aplicativo ConecteSUS lendo QR Code falso e exibindo mensagem e dados como válidos
Aplicativo ConecteSUS lendo QR Code falso e exibindo mensagem e dados como válidos (Imagem: Reprodução/Tecnoblog)

Conrado deu um QR Code forjado de exemplo. No Android, o ConecteSUS exibe a mensagem “FORABOLSONARO” com os dados do presidente Jair Bolsonaro. O Tecnoblog testou e conseguiu reproduzir a falha no Android. No iOS, o código adulterado aparece como inválido, seja online ou offline.

O Tecnoblog entrou em contato com o Ministério da Saúde na tarde desta quinta-feira (27), mas ainda não recebeu uma resposta.

ConecteSUS dava “OK” para qualquer QR Code

Na quarta-feira (26), surgiu a informação de que a ferramenta de validação do comprovante de vacinação do ConecteSUS retornava um “OK” para qualquer QR Code, fosse ele de um certificado autêntico ou não. Chaves Pix e textos simples, por exemplo, também faziam o app mostrar um “OK”.

Na noite da quarta, o aplicativo para iOS foi atualizado e passou a verificar corretamente os QR Codes. Agora, ao ler um código autêntico, ele exibe informações como cartão SUS, data de nascimento e partes do CPF. Do contrário, ele avisa que o QR Code é inválido.

Exclusivo: Nova falha no ConecteSUS valida QR Code falso e exibe dados adulterados


rastreador de celular grátis pelo número


Fonte: https://tecnoblog.net/noticias/2022/01/27/exclusivo-nova-falha-no-conectesus-valida-qr-code-falso-e-exibe-dados-adulterados/
Exclusivo: Nova falha no ConecteSUS valida QR Code falso e exibe dados adulterados Exclusivo: Nova falha no ConecteSUS valida QR Code falso e exibe dados adulterados Reviewed by MeuSPY on janeiro 27, 2022 Rating: 5

VOCÊ PODE GOSTAR

Nenhum comentário:

Antes de deixar um comentário, acesse o site meuspy.com e veja como é fácil espionar celulares.

Assinar: Postar comentários ( Atom )
Tecnologia do Blogger.