O melhor da tecnologia está no nosso canal de mensagens no WhatsApp
Uma nova vulnerabilidade relacionada à verificação de comprovantes de vacinação foi descoberta no aplicativo ConecteSUS. Este segundo problema revelado nesta semana envolve a validação de QR Codes falsificados e a possível exibição de mensagens adulteradas quando o aplicativo está offline. A descoberta foi compartilhada com exclusividade pelo Tecnoblog.
A vulnerabilidade foi identificada por Conrado Gouvêa, especialista em segurança da informação. Este problema específico ocorre apenas em dispositivos Android e está mais relacionado a um cenário particular. Ao contrário da falha revelada anteriormente, que resultava na validação de QR Codes falsos como "OK".
Sem conexão com a internet, o aplicativo não verifica o código
Ao abrir o aplicativo, desativar as conexões de internet do dispositivo e tentar validar um QR Code falso, o problema se manifesta. Conrado explica que o QR Code do comprovante de vacinação é um JSON Web Token, um formato simples de troca de dados assinado digitalmente.
O aplicativo ConecteSUS deveria verificar essa assinatura digital para reconhecer apenas os JWT válidos como autênticos. No entanto, quando o aplicativo está offline, a verificação não ocorre e ele exibe as informações contidas no JSON, permitindo a falsificação do código.
Reproduzir essa vulnerabilidade não é trivial e está limitada ao sistema Android. É necessário abrir o aplicativo ConecteSUS estando online para baixar um arquivo essencial para as verificações. Em seguida, é possível ler o QR Code falso com as informações falsificadas sendo exibidas no aplicativo, mesmo estando offline.
Conrado forneceu um exemplo de QR Code falso, no qual o ConecteSUS exibiu a mensagem "FORABOLSONARO" com dados relacionados ao presidente Jair Bolsonaro. O Tecnoblog testou e confirmou essa falha no Android, enquanto no iOS, o código adulterado é identificado como inválido, seja online ou offline.
O Tecnoblog entrou em contato com o Ministério da Saúde, que respondeu prontamente informando ter identificado a falha e atualizado o componente de validação do QR Code. A nova versão do aplicativo já está disponível online e a correção para a versão offline estará disponível nas lojas de aplicativos em breve.
ConecteSUS validava qualquer QR Code como "OK"
Na quarta-feira (26), foi relatado que a ferramenta de validação de comprovantes de vacinação do ConecteSUS estava retornando "OK" para qualquer QR Code, independentemente da autenticidade do documento. Chaves Pix e textos simples também eram validados como autênticos.
A versão do aplicativo para iOS foi atualizada para corrigir esse problema, agora exibindo corretamente as informações de QR Codes válidos e indicando a inválida para os demais.
Atualizado em 28 de janeiro às 17h32 com o posicionamento do Ministério da Saúde.
Tags: Meu SUS Digital (ConecteSUS), Ministério da Saúde.
Editora do blog ‘Meu SUS Digital’ é apaixonada por saúde pública e tecnologia, dedicada a fornecer conteúdo relevante e informativo sobre como a digitalização está transformando o Sistema Único de Saúde (SUS) no Brasil.
