A Chave Móvel Digital é um meio de autenticação que permite a associação de um número de telemóvel ao número de identificação civil (NIC) para um cidadão português e o número de passaporte para um cidadão estrangeiro residente em Portugal.
Como é natural, este tipo de serviços devem garantir a máxima segurança dos dados dos utilizadores mas, segundo informações, o sistema de autenticação do Governo Português e a chave móvel digital estão longe de garantir a confidencialidade dos dados.
Chama-se Illya Gerasymchuk, tem apenas 23 anos e é estudante do Instituto Superior Técnico. De acordo com Gerasymchuk, o sistema de autenticação do Governo Português e a chave móvel digital garantem pouca segurança dos dados.
Antes de fazer a publicação no seu site pessoal, Illya Gerasymchuk diz ter contactado a Agência para a Modernização Administrativa em janeiro de 2018, mas não recebeu qualquer resposta.
Afinal o que falha nestes sistemas?
Illya Gerasymchuk detetou algumas vulnerabilidades nos sistemas. De acordo com a investigação de Illya Gerasymchuk para a utilização da chave móvel o cidadão apenas tem de introduzir o número de telemóvel e o respetivo PIN. Se tudo estiver correcto, o utilizador recebe uma mensagem via SMS com o código que deve ser usado. O PIN apenas tem 4 a 8 dígitos numéricos e o SMS recebido é o único elemento a funcionar como autenticação a “dois fatores”. Através do lock do sistema, é também possível quais os números registados. Se um número não estiver registado, não acontecerá qualquer bloqueio.
The issue is that if the phone number is registered, after 3 failed attempts, your account will be temporary locked. If the phone number is not registered, no lock in will occur.
Gerasymchuk considera que um PIN com 4 a 8 dígitos numéricos é fraco para garantir a segurança dos sistemas. É verdade… no entanto, os sistemas têm mecanismos de bloquear à terceira tentativa errada e assim evitar ataques de força bruta. A confirmação via SMS também já não é a melhor solução para garantir a autenticação de um utilizador.
Outro dos problemas tem a ver com as sessões na plataforma Autenticação.Gov . Como se pode ver pelo seguinte vídeo, a sessão é sempre mantida mesmo que o utilizador faça Sair da Plataforma.
Existem também vulnerabilidade no próprio site que permitem injetar código (vulnerabilidade designada de site-crossscripting (XSS)). Illya Gerasymchuk demorou apenas 30 minutos a descobrir tais falhas.