[hm] [Off-topic] webapp de verificación de pasaporte covid

Gonzalo Sarrablo gsarrablo en gmail.com
Mie Dic 15 13:43:02 CET 2021


Mmm, por lo que estuve investigando, en realidad puede funcionsr 100%
online, al leer el qr te devuelve una ristra que menos los 5 primeros
caracteres (hns1: o algo asi) esta codificado en base45 (si, base45, no
base64), luego comprimido con zlib y codificado en COSE, rn python es facil
decodificarlo.

Pa mas info aqui: https://github.com/hannob/vacdec

La cosa es que  las apps suelen llevar ya metidas las claves publicas. En
cualquier caso, al decodificarlo salen dos campos, uno que es una firma y
otro que son los datos en si mismo. Puedes llegar a generar qr "validos"
(tanto en cuanto no verifiquen el campo de firma) que muchas aplicaciones
que no validan una mierda lo dan por buena.

Con esto en ppio se puede generar:

https://github.com/ehn-dcc-development/python-hcert

Supongo que con lo que comentas que colando en la peticion una key publica
falsa con la que tu has generado el certificado, Bob Esponja podria entrar
a un bar jajaja

El mié., 15 dic. 2021 13:32, fadelkon <fadelkon en posteo.net> escribió:

> Ayer en un bar por barcelona me pidieron el pasaporte covid. Usaban esto:
>
> https://verificacovid.gencat.cat
>
> Decodifica en el navegador el qr y muestra si es válido o no, el nombre y
> apellidos, y la fecha de nacimiento. En la consola salen más datos, no sé
> si todos los que están codificados en el qr
>
> La aplicación solo hace una petición extra para recargar un json con todos
> los certificados de todos los países que imagino que han implementado el
> sistema.
>
> https://verificacovid.gencat.cat/eu_jwk_keys.json
>
> Está interesante. Funciona offline y solo carga recursos de un solo
> dominio, sin tracking externo ni nada por el estilo.
>
> Respecto a vulnerabilidades... Me imagino alguien haciendo un dns spoofing
> en la wifi de un bar para servir la misma web pero con el json modificado
> para añadir un certificado propio con el que ha firmado un qr... Todo para
> tomarse una caña xD
>
> Podría ser viable el spoofing pq no sirve la cabecera HSTS, y con un
> refresh entero de la app...
>
> Conocéis otras aplicaciones? Qué os parece esta?
>
> Salut!
> fdk
>
> _______________________________________________
> HackMeeting mailing list
> HackMeeting en listas.sindominio.net
> https://listas.sindominio.net/mailman/listinfo/hackmeeting
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: </pipermail/hackmeeting/attachments/20211215/d1a2b178/attachment.html>


Más información sobre la lista de distribución HackMeeting