Execução de código arbitrário na urna eletrônica brasileira
Resumo
Múltiplas vulnerabilidades graves foram detectadas nosúltimos Testes Públicos de Segurança da urna eletrõnica brasileira. Quando combinadas, comprometeram o sigilo do voto e a integridade do software, as principais propriedades de segurança do sistema. O armazenamento inseguro de chaves criptográficas, inseridas diretamente no código-fonte e compartilhadas entre todas as urnas, permitiu a inspeção das mídias de instalação de software, em que duas bibliotecas compartilhadas sem assinaturas foram encontradas. A injeção de código nessas bibliotecas abriu a possibilidade de ter total controle sobre a urna. Até onde sabemos, esta foi a exploração mais profunda de um sistema de votação utilizado em larga escala realizada durante testes severamente restritos.
Publicado
25/10/2018
Como Citar
ARANHA, Diego F.; BARBOSA, Pedro; CARDOSO, Thiago N. C.; LÜDERS, Caio; MATIAS, Paulo.
Execução de código arbitrário na urna eletrônica brasileira. In: SIMPÓSIO BRASILEIRO DE SEGURANÇA DA INFORMAÇÃO E DE SISTEMAS COMPUTACIONAIS (SBSEG), 18. , 2018, Natal.
Anais [...].
Porto Alegre: Sociedade Brasileira de Computação,
2018
.
p. 57 - 70.