Em declarações recolhidas pela Agência Lusa, o investigador Fernando Rente informa que o Cartão do Cidadão (CC) tem uma falha ao nível do software que permite desbloquear assinaturas digitais e proceder à falsificação das mesmas. A vulnerabilidade foi detetada no software criado inicialmente para integrar os serviços dos portais das Finanças, do Cidadão e da Empresa.
O investigador, que também é coordenador do Computer Security Incident Response Team (CERT/IPN), diz que a falha de segurança se deve ao facto de a arquitetura do software usado pelo CC ter sido criada sem ter em conta eventuais infeções nos computadores dos utilizadores, que poderiam ser aproveitadas por hackers para obter o PIN que desbloqueia as assinaturas digitais.
Fernando Rente acrescenta que alertou a Agência de Modernização Administrativa (AMA) para a falha em 2007, mas reitera que nada terá sido feito depois desse alerta.
A vulnerabilidade, que já foi confirmada por outros especialistas em segurança eletrónica, não será a única.
Ricardo Mendes, outro especialista em segurança eletrónica que analisou o CC, diz que este documento apresenta ainda uma vulnerabilidade quando usado em sistemas operativos Linux, disponibilizando uma caixa de texto para a inserção do PIN, em vez do teclado virtual, que já se banalizou nos serviços de banca online. Esta vulnerabilidade já terá sido encaminhada para a AMA há cerca de dois meses.
A Agência que gere o CC já reagiu aos alertas, reiterando que, até à data, ainda não foi detetado qualquer vulnerabilidade no software do CC.
A AMA acrescenta que desconhece qualquer alerta dos investigadores da FCTUC e lembra ainda que os sistemas, o software e as infraestruturas usadas pelo CC são auditadas periodicamente por entidades externas.
