Pesquisadores do IMD e DCA descobrem vulnerabilidades em apps da Justiça Eleitoral
Pesquisadores da UFRN escrevem artigo sobre vulnerabilidade de apps da Justiça Eleitoral
13-11-2017 / ASCOM
A segurança de aplicações móveis do Judiciário Eleitoral brasileiro é tema de trabalho desenvolvido por pesquisadores do Instituto Metrópole Digital (IMD) e Departamento de Engenharia da Computação e Automação (DCA/UFRN). Utilizando a análise do padrão de tráfego de rede dos apps e dos protocolos de comunicação adotados, a equipe traçou um panorama geral de segurança do ambiente das aplicações móveis e servidores, encontrando vulnerabilidades importantes. Essas falhas viabilizariam, nos casos mais graves, a indisponibilização de serviços, captura e adulteração de dados sigilosos de usuários, apresentação de dados falsos nas aplicações e acesso não autorizado à rede privativa da Justiça Eleitoral.
Resultado de uma pesquisa maior em andamento, que avalia a segurança de sistemas e serviços do Governo Eletrônico Brasileiro, o trabalho foi apresentado nesta semana no XVII Simpósio Brasileiro em Segurança da Informação e de Sistemas Computacionais - SBSeg 2017, em Brasília/DF.
O artigo, intitulado "Do back-end para o front-end: Uma Avaliação de Segurança de Aplicações Móveis da Justiça Eleitoral”, é assinado pelo aluno de Engenharia da Computação, Daniel Galvão, e pelos professores Wellington Souza (IMD) e Samuel Xavier de Souza (DCA). Os pesquisadores apresentam um conjunto de falhas de implementação de mecanismos de segurança, tanto nos apps como nos webservices consumidos por estes. A pesquisa apresenta ainda uma prova de conceito, falsificando dados enviados à aplicação móvel, apresentando ao usuário informações adulteradas sem que este perceba que está sendo vítima do ataque.
As vulnerabilidades foram reportadas ao TSE (Tribunal Superior Eleitoral) ainda em 2016. Em resposta, o referido órgão se mostrou receptivo, agradecendo a colaboração e solicitando dados complementares para viabilizar as correções necessárias. Todas as informações foram mantidas em sigilo para que a Justiça Eleitoral pudesse analisar e implementar as soluções de mitigação sugeridas.