Execução de código arbitrário na urna eletrônica brasileira

  • Diego F. Aranha
  • Pedro Barbosa
  • Thiago N. C. Cardoso
  • Caio Lüders
  • Paulo Matias

Resumo


Múltiplas vulnerabilidades graves foram detectadas nosúltimos Testes Públicos de Segurança da urna eletrõnica brasileira. Quando combinadas, comprometeram o sigilo do voto e a integridade do software, as principais propriedades de segurança do sistema. O armazenamento inseguro de chaves criptográficas, inseridas diretamente no código-fonte e compartilhadas entre todas as urnas, permitiu a inspeção das mídias de instalação de software, em que duas bibliotecas compartilhadas sem assinaturas foram encontradas. A injeção de código nessas bibliotecas abriu a possibilidade de ter total controle sobre a urna. Até onde sabemos, esta foi a exploração mais profunda de um sistema de votação utilizado em larga escala realizada durante testes severamente restritos.
Publicado
25/10/2018
Como Citar

Selecione um Formato
ARANHA, Diego F.; BARBOSA, Pedro; CARDOSO, Thiago N. C.; LÜDERS, Caio; MATIAS, Paulo. Execução de código arbitrário na urna eletrônica brasileira. In: SIMPÓSIO BRASILEIRO DE SEGURANÇA DA INFORMAÇÃO E DE SISTEMAS COMPUTACIONAIS (SBSEG), 18. , 2018, Natal. Anais [...]. Porto Alegre: Sociedade Brasileira de Computação, 2018 . p. 57 - 70.