Notícias

Chave móvel digital e Autenticação.Gov.pt com problemas de segurança

23 Comentários

A Chave Móvel Digital é um meio de autenticação que permite a associação de um número de telemóvel ao número de identificação civil (NIC) para um cidadão português e o número de passaporte para um cidadão estrangeiro residente em Portugal.

Como é natural, este tipo de serviços devem garantir a máxima segurança dos dados dos utilizadores mas, segundo informações, o sistema de autenticação do Governo Português e a chave móvel digital estão longe de garantir a confidencialidade dos dados.


Chama-se Illya Gerasymchuk, tem apenas 23 anos e é estudante do Instituto Superior Técnico. De acordo com Gerasymchuk, o sistema de autenticação do Governo Português e a chave móvel digital garantem pouca segurança dos dados.

Antes de fazer a publicação no seu site pessoal, Illya Gerasymchuk diz ter contactado a Agência para a Modernização Administrativa em janeiro de 2018, mas não recebeu qualquer resposta.

Afinal o que falha nestes sistemas?

Illya Gerasymchuk detetou algumas vulnerabilidades nos sistemas. De acordo com a investigação de Illya Gerasymchuk para a utilização da chave móvel o cidadão apenas tem de introduzir o número de telemóvel e o respetivo PIN. Se tudo estiver correcto, o utilizador recebe uma mensagem via SMS com o código que deve ser usado. O PIN apenas tem 4 a 8 dígitos numéricos e o SMS recebido é o único elemento a funcionar como autenticação a “dois fatores”. Através do lock do sistema, é também possível quais os números registados. Se um número não estiver registado, não acontecerá qualquer bloqueio.

The issue is that if the phone number is registered, after 3 failed attempts, your account will be temporary locked. If the phone number is not registered, no lock in will occur.

Gerasymchuk considera que um PIN com 4 a 8 dígitos numéricos é fraco para garantir a segurança dos sistemas. É verdade… no entanto, os sistemas têm mecanismos de bloquear à terceira tentativa errada e assim evitar ataques de força bruta. A confirmação via SMS também já não é a melhor solução para garantir a autenticação de um utilizador.

Outro dos problemas tem a ver com as sessões na plataforma Autenticação.Gov . Como se pode ver pelo seguinte vídeo, a sessão é sempre mantida mesmo que o utilizador faça Sair da Plataforma.

Existem também vulnerabilidade no próprio site que permitem injetar código (vulnerabilidade designada de site-crossscripting (XSS)). Illya Gerasymchuk demorou apenas 30 minutos a descobrir tais falhas.

Via

PUB
Autor: Pedro Pinto
Partilhar:
Tags:
Autenticação.Gov.pt Chave Móvel

PUB.

Questão Semanal

Deveria haver uma marca obrigatória em todas as imagens geradas por IA?

Ver Resultados

Loading ... Loading …
Arquivo de Questões

PUB.

Velocímetro Pplware

Teste a velocidade da sua Internet
Farto dos serviços Google? 4 alternativas ao Google Fotos
Artigo anterior

Farto dos serviços Google? 4 alternativas ao Google Fotos
NOS poderá rescindir contrato com o Sporting
Próximo artigo

NOS poderá rescindir contrato com o Sporting
PUB

Comentários

23

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de Jonathan Wesley Vicente
    Jonathan Wesley Vicente

    Pequena correção, não é através do XSS, que consegues saber o número de telemóvel, mas sim através do sistema de lock, porque só é activado em números registados.

    “The issue is that if the phone number is registered, after 3 failed attempts, your account will be temporary locked. If the phone number is not registered, no lock in will occur.”

    Responder
  2. Avatar de Mário Rodrigues
    Mário Rodrigues

    LOL

    Tá muito bem programado tá.
    MEDO

    Responder
  3. Avatar de Marco Lopes
    Marco Lopes

    A chave móvel digital é a pura confirmação que o CC é um autêntico FLOP! Nem o mais dotado geek consegue fazer algo decente através do CC… o processo é tão complexo e exigente que grande parte dos utilizadores desiste.

    Responder
    1. Avatar de Daniel
      Daniel

      Vamos voltar à era de escrever nas pedras….

      Responder
    2. Avatar de N'uno
      N’uno

      É curioso, eu não me considero propriamente um geek, muito menos dotado, mas uso o CC para me autenticar em vários sites e assino frequentemente documentos PDF. A aplicação do CC está bastante simples e já resolveu a questão da assinatura digital a que me referi. A única dificuldade que senti foi com a incompatibilidade da versão Linux da aplicação autenticacao.gov com o router DD-WRT que uso, mas que foi facilmente resolvida. No Windows é linear, tipo “next-next” como as restantes aplicações desse sistema.
      Mas entendo que cause alguma confusão a quem tem pouca noção do assunto.

      Responder
    3. Avatar de N'uno
      N’uno

      A chave móvel é uma solução muito má, mesmo.

      Responder
  4. Avatar de GM
    GM

    O que nos deixa deveras descansados!
    Estou com um problema, penso que após a actualização para a V.1803 do W10, que tem a ver com assinatura digital de documentos com o CC. E penso que seja após a actualização pois, com o mesmo pc, o mesmo leitor e o mesmo software de assinatura, ainda na V.1709, assinei documentos. Simplesmente, quer no e-paper sign, quer no ACROBAT READER DC, os certificados digitais aplicáveis não são encontrados. Não tendo nada a ver directamente com o tópico, ainda assim entra no tema AUTENTICAÇÃO.

    Responder
    1. Avatar de L/MakaT
      L/MakaT

      o Win10 v1803 não é propriamente o melhor sistema para trazer para cima da mesa, em 3 updates de v1709 para v1803 apenas 1 não rebentou com o EDGE que deixou de funcionar (https://answers.microsoft.com/en-us/edge/forum/edge_crash-edge_win10/after-upgrading-to-1803-edge-will-open-but-i/9f2ef0aa-70a4-4820-a8a6-b432f94dcec3?auth=1&rtAction=1526053748223), no entanto valida a ultima actualização de maio que traz algumas actualizações no campo do rendering, pode ser que te ajude.

      Responder
    2. Avatar de Joao Ptt
      Joao Ptt

      Estou com o mesmo tipo de problema!
      Mas no meu caso é com o servidor de selo temporal do cartão do cidadão… aquilo não está a assinar correctamente há já alguns dias. Já tentei com dois programas diferentes e dá sempre problemas (mesmo que apareça que a operação foi concluída com sucesso depois ao verificar nos programas dá erro de validação). Como todos os outros 16 servidores de selos temporais estão a funcionar bem é porque é algo mesmo nos servidores do Cartão do Cidadão. Têm aquele limite ridículo de 20 assinaturas a cada 20 minutos e mesmo assim aquilo não funciona bem.
      E além disso aqueles certificados deveriam durar pelo menos uns 12 anos desde que eram emitidos e só duram uns 5 a 7 anos.

      Responder
      1. Avatar de Joao Ptt
        Joao Ptt

        Actualização: serviço de selo temporal do cartão do cidadão já está a funcionar correctamente.

        Responder
  5. Avatar de Cassamo
    Cassamo

    Obrigado espero que me envie todos os comentarios automaticamente

    Responder
  6. Avatar de Hugo Freitas
    Hugo Freitas

    Acabei agora mesmo de fazer o “Sair” da sessão e tudo funciona como suposto, ao Sair ele fecha a sessão e volta a pedir tudo novamente. Não será que o rapaz que fez o vídeo tinha o Cartão de Cidadão enviado no leitor e isso causa autenticação automática? Posso experimentar em casa.
    Já agora usei o Firefox 60.0

    Responder
    1. Avatar de Hugo Freitas
      Hugo Freitas

      Já agora para acrescentar que o código é de 6 algarismos e o bloqueio é ao fim de 3 tentativas erradas.

      Responder
      1. Avatar de L/MakaT
        L/MakaT

        Nope,
        Efectivamente funciona com 4 algarismos, o utilizador tem a opção de escolher entre 4 e 8…

        Responder
    2. Avatar de L/MakaT
      L/MakaT

      Concordo, o SSO e a partilha de cookies entre sessões do mesmo tipo é perfeitamente normal na maioria dos browsers hoje em dia, sempre usei CC e já tive algumas discussões com o próprio suporte e em termos de “cookie clearing” e afins sempre funcionou como suposto. Não consegui perceber onde está o “hack” à parte das vulnerabilidades de XSS que não vi ninguém provar.

      Responder
    3. Avatar de Joao
      Joao

      Isto foi descoberto em Janeiro, e revelado agora. Alguns dos erros referidos já foram corrigidos. Outros ainda não.

      Responder
  7. Avatar de Ze
    Ze

    Lol. Isto é a pura da anedota dos alunos de segurança do técnico, muita parra pouca uva, mais um para DPO ou CISO 😉

    Responder
    1. Avatar de L/MakaT
      L/MakaT

      Yep, para dizer a verdade depois de ler o “blog” dele a este respeito até acho que ele é que foi “hackado” por Engenharia Social 😀 .

      Responder
  8. Avatar de Rodrigo
    Rodrigo

    A semana autentiquei-me com a chave móvel e apareceu-me como sendo reconhecido como Ana Antunes. Ainda olhei ao espelho 2 vezes, parei para pensar se em alguma altura da minha vida tinha mudado de sexo. Fiz um printscreen e enviei para o suporte. Resposta deles: “Pedimos desculpas, mas não conseguimos detetar o error que reporta. Pode-nos confirmar se o numero de tlm que inseriu é realmente seu.”. Bom, percebi logo que estava a falsr fom um estagiário que devia ter acabado de sair da universidade. Nem me dei ao trabalho de responder, pq já sabia onde é que esta conversa ia dar.

    Responder
  9. Avatar de antonio oliveira
    antonio oliveira

    Recebi esta semana o PIN temporário. Fiz todo o processo de adesão conforme indicado, incluindo o código de segurança enviado para o meu telemóvel. A partir daí o processo bloqueou e nada mais pude fazer. Frustrante.

    Responder
  10. Avatar de Fatima Barata
    Fatima Barata

    69 e ensinei-me Informática a mim mesma.
    Inicialmente pensei que adquirir uma chave novel digital com Autenticação.com seria bom pois moro em Inglaterra.
    Mas tornou-se tao complicado que depois de varias tentativas desisti.
    Talvez seja bom….uma desculpa para ir a Portugal e fazer fiiiiiiiiila num departamento do estado

    Responder
    1. Avatar de N'uno
      N’uno

      Comentário muito vago para se perceber o que se poderá estar a passar… Por mim posso afirmar que tem funcionado melhor do que eu algum dia pensava… Facilita imenso a vida e no meu caso nunca complicou. Considero bom, não óptimo.

      Responder
  11. Avatar de JORGE RODRIGUES
    JORGE RODRIGUES

    NÃO CONSIGO PASSAR DESTA FASE. A CONFIRMAÇÃO DO PIN DE ASSINATURA DA CHAVE MÓVEL DIGITAL PARA ACEITAR OS TERMOS E CONDIÇÕES DE UTILIZAÇÃO. COLOCO O PIN , CONFIRMO E NÃO SAI DO SITIO.
    De seguida, ser-lhe-á solicitada a introdução do seu PIN de Assinatura da CMD para atestar a aceitação dos
    termos e condições de utilização da PEM Móvel. Posteriormente, e caso o PIN de Assinatura digital se
    encontre correto, irá receber, via sms, um código de segurança de 6 dígitos que deverá inserir no formulário
    apresentado abaixo:
    Figura 7 – Ecrã para introdução do PIN de Assinatura digital para aceitação de termos de utilização

    Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.