As assinaturas digitais são utilizadas para garantir a identidade e segurança de um documento, atestando que foi aquela pessoa que assinou um texto. Porém, não é bem assim que funciona, pois essa assinatura pode ser falsificada.
Investigadores da Universidade Ruhr em Bochum revelam a prática. Muitos softwares são compatíveis com as assinaturas digitais em arquivos PDF, que indicam não apenas quem assinou, mas outros detalhes que podem ser modificados a partir da assinatura. Na teoria, os arquivos são autênticos, mas na prática, tais programas não são tão seguros quanto deveriam ser.
É perfeitamente possível falsificar uma assinatura digital em um PDF
O problema é mais comum do que parece. Dos 22 programas para leitura de arquivos PDF, 21 “engoliram” assinaturas falsas, e cinco dos sete serviços online para testar a autenticidade dos documentos falharam nos testes.
Entre os apps testados, estavam alguns dos mais populares, como Adobe Acrobat Reader, LibreOffice ou Foxxit, além de serviços como DocuSign ou Evotrust.
Os investigadores não publicaram suas descobertas até que os criadores dos aplicativos fossem avisados e desenvolvessem correções pertinentes. Logo, os apps ofereceram assinaturas inseguras em seus produtos por algum tempo. Porém, os dados não se tornaram públicos antes por causa da importância das assinaturas eletrônicas, tanto nos âmbitos empresarial como no aspecto governamental ou de justiça.
As correções não aliviam a situação
Obviamente, corrigir o problema oferece um certo alívio, mas não um grande consolo, pois estamos falando de três vulnerabilidades diferentes:
1) A que afeta o processo de verificação da assinatura, para que o programa mostre que aquela assinatura é válida.
2) A que permite adicionar conteúdos a um documento PDF já assinado, sem fazer com que a assinatura digital deixe de ser válida.
3) A que permite a inclusão de um código com a assinatura falsa como se ela fosse a original.
Ainda que os investigadores afirmassem que não descobriram alguém que estivessem se aproveitando de tais vulnerabilidades, a notícia não deixa essa tecnologia em um terreno seguro. Especialmente porque, apesar de todos os aplicativos testados já estarem atualizados, não há garantias que as assinaturas estejam seguras, especialmente levando em consideração que a maioria dos usuários não instala as atualizações dos programas tão logo elas estejam disponíveis.
Muito provavelmente temos milhares de empresas, administrações e sistemas judiciários que estão utilizando versões inseguras desses programas nesse exato momento.
Via Web-In-Security