[hm] [Off-topic] webapp de verificación de pasaporte covid
fadelkon
fadelkon en posteo.net
Mie Dic 15 13:31:05 CET 2021
Ayer en un bar por barcelona me pidieron el pasaporte covid. Usaban esto:
https://verificacovid.gencat.cat
Decodifica en el navegador el qr y muestra si es válido o no, el nombre y apellidos, y la fecha de nacimiento. En la consola salen más datos, no sé si todos los que están codificados en el qr
La aplicación solo hace una petición extra para recargar un json con todos los certificados de todos los países que imagino que han implementado el sistema.
https://verificacovid.gencat.cat/eu_jwk_keys.json
Está interesante. Funciona offline y solo carga recursos de un solo dominio, sin tracking externo ni nada por el estilo.
Respecto a vulnerabilidades... Me imagino alguien haciendo un dns spoofing en la wifi de un bar para servir la misma web pero con el json modificado para añadir un certificado propio con el que ha firmado un qr... Todo para tomarse una caña xD
Podría ser viable el spoofing pq no sirve la cabecera HSTS, y con un refresh entero de la app...
Conocéis otras aplicaciones? Qué os parece esta?
Salut!
fdk
Más información sobre la lista de distribución HackMeeting