O Tribunal Superior Eleitoral (TSE) anunciou nesta terça-feira (30) o fim do Teste Público de Segurança (TPS) do sistema que será utilizado nas urnas eletrônicas em 2022. Os pesquisadores convidados a invadirem o sistema encontraram cinco pontos vulneráveis. No entanto, nenhum investigador conseguiu acessar o software da urna ou o aplicativo que armazena nomes de eleitores e seus candidatos.
No procedimento, os pesquisadores precisaram realizar 29 ataques diferentes ao sistema. O presidente do TSE, Luís Roberto Barroso, explicou que nenhuma ameaça foi considerada “realmente grave a ponto de oferecer risco para o resultado das eleições”, disse.
Vulnerabilidades encontradas
Durante o TPS, todos os pesquisadores receberam o código-fonte do sistema, mas apenas cinco vulnerabilidades foram encontradas.
Na primeira, o investigador André Matos conseguiu desembaralhar o boletim de urna, documento impresso depois da votação com os resultados de cada dispositivo. “O achado é relevante porque suscita a discussão acerca da necessidade de criptografia do BU, considerando que se trata de documento público já protegido por assinatura digital”, respondeu o TSE.
Em outra ‘brecha’, um pesquisador identificou teclas de atalho desbloqueadas no navegador do JEConnect, sistema que transmite os resultados da urna. “É como se o grupo tivesse encontrado uma forma de pular o túnel que liga o local de transmissão (onde é executado o sistema JEConnect) ao TSE. Esse túnel, entretanto, desemboca em uma proteção (como um muro), que só pode ser ultrapassado com usuário e senha”, explicou o TSE.
Já outro grupo de investigadores conseguiu abrir três compartimentos criptografados que formam o JEConnect e ultrapassar não só o túnel como também o muro, que é aberto com login e senha. Segundo o STE, o achado é relevante, pois “uma vez que uma conexão indevida à rede segura do TSE, no dia das eleições, pode ser utilizada para ataques cibernéticos”.
As outras duas vulnerabilidades consideraram a possibilidade de adicionar um painel frontal falso na cabine e conectar um transmissor Bluetooth na saída do fone de ouvido para quebrar o sigilo do voto.
Melhorias
Barroso explica que a partir das vulnerabilidades encontradas, o sistema será corrigido até maio de 2022 e os investigadores voltarão para testar as atualizações. “É para isso mesmo que nós fazemos o teste de segurança. A cada eleição, a cada ano que passa, os mecanismos de ataque vão ficando mais sofisticados, e nós utilizamos esses ataques para sofisticar os nossos próprios mecanismos de defesa”.