[hm] [Off-topic] webapp de verificación de pasaporte covid

fadelkon fadelkon en posteo.net
Mie Dic 15 13:31:05 CET 2021


Ayer en un bar por barcelona me pidieron el pasaporte covid. Usaban esto:

https://verificacovid.gencat.cat

Decodifica en el navegador el qr y muestra si es válido o no, el nombre y apellidos, y la fecha de nacimiento. En la consola salen más datos, no sé si todos los que están codificados en el qr

La aplicación solo hace una petición extra para recargar un json con todos los certificados de todos los países que imagino que han implementado el sistema.

https://verificacovid.gencat.cat/eu_jwk_keys.json

Está interesante. Funciona offline y solo carga recursos de un solo dominio, sin tracking externo ni nada por el estilo.

Respecto a vulnerabilidades... Me imagino alguien haciendo un dns spoofing en la wifi de un bar para servir la misma web pero con el json modificado para añadir un certificado propio con el que ha firmado un qr... Todo para tomarse una caña xD

Podría ser viable el spoofing pq no sirve la cabecera HSTS, y con un refresh entero de la app...

Conocéis otras aplicaciones? Qué os parece esta?

Salut!
fdk



Más información sobre la lista de distribución HackMeeting