ConecteSUS tem falha que valida qualquer QR Code e libera não vacinados

Qualquer QR Code passa na verificação do ConecteSUS, que deveria servir para confirmar se um comprovante de vacinação é verdadeiro

Por Giovanni Santa Rosa

há 2 anos e 2 meses • Atualizado há 6 meses

Conecte SUS (Imagem: Gabrielle Lancellotti/Tecnoblog) — ConecteSUS (Imagem: Gabrielle Lancellotti/Tecnoblog)

Os passaportes de vacinação contra COVID-19 são exigidos em várias situações. O próprio aplicativo ConecteSUS pode ser usado para verificar o documento apresentado por um leitor de QR Code. O problema é que ele validava praticamente qualquer coisa, dando uma brecha enorme para quem não se vacinou burlar a obrigatoriedade. Após as críticas, o Ministério da Saúde consertou a ferramenta.

A descoberta foi reportada primeiro pela agência de reportagem Saiba Mais depois da dica de um leitor. A função Valida QR Code do aplicativo retorna “OK” para qualquer QR Code. Qualquer QR Code mesmo, seja um código de um comprovante de vacinação verdadeiro, falso ou até outras coisas, como chaves Pix, links e textos simples.

O Tecnoblog testou e comprovou que a informação é verdadeira. O Valida QR Code do ConecteSUS mostra a mensagem “OK” quando é apontado para um código de um comprovante de vacinação autêntico. Mas não para por aí.

À esquerda, app de câmera do iPhone lendo o texto simples do QR Code. À direita, ConecteSUS dando "OK" para o mesmo QR Code — À esquerda, app de câmera do iPhone lendo o texto simples do QR Code. À direita, ConecteSUS dando “OK” para o mesmo QR Code (Imagem: Tecnoblog/Giovanni Santa Rosa)

Usando um gerador de códigos online muito básico, criamos um QR Code com o texto “tecnoblog”. A câmera do iPhone reconhece e confirma que é isso mesmo que está escrito. Mesmo assim, o Valida QR Code do ConecteSUS dá “OK”, como se fosse um comprovante autêntico.

O app do Ministério da Saúde exibe a mesma mensagem para todos os códigos que testamos, como uma chave Pix e uma tag de perfil do Instagram.

A questão pode colocar em xeque a verificação de passaportes de vacina. Se um estabelecimento usar o aplicativo do ConecteSUS, um comprovante falsificado pode servir para entrar. Basta que ele esteja com um QR Code — qualquer QR Code.

O Tecnoblog entrou em contato com a assessoria de imprensa do Ministério da Saúde e recebeu o seguinte posicionamento, sem menção às questões da validação:

O Ministério da Saúde informa que o ícone “Valida QR Code”, presente no app, é disponibilizado para a validação do Certificado Nacional de Vacinação Covid-19.

Na noite de quarta-feira (26), o aplicativo do ConecteSUS para iOS foi atualizado na App Store. O registro de mudanças diz que a versão 8.3.1 inclui “Correção na validação do QR Code”. Na Play Store, a última atualização do aplicativo para Android é do dia 25 de janeiro, e o changelog também inclui essa correção.

O Tecnoblog testou novamente o aplicativo. Agora, ao apontar para um QR Code qualquer, a ferramenta diz que ele é inválido. Ao escanear o código de um certificado de vacina autêntico, ele mostra informações sobre o paciente, como cartão SUS, data de nascimento e partes do CPF.

ConecteSUS ficou fora do ar em dezembro

Este não é o primeiro problema enfrentado pelo aplicativo ConecteSUS. Em dezembro de 2021, ele ficou mais de uma semana enfrentando instabilidades após um ataque hacker.

Um dos recursos mais afetados foi a emissão de certificados de vacinação contra COVID-19. A falta do documento fez muita gente procurar secretarias de saúde estaduais e municipais, já que ele é exigido em alguns eventos, estabelecimentos e viagens ao exterior.

Atualizado às 17h57 do dia 26 com o posicionamento do Ministério da Saúde.

Atualizado às 12h16 do dia 27 com as correções do aplicativo.