在线投票再次受到打击

• By 苏珊·米勒（Susan Miller）
• 2020 年 2 月 14 日

Voatz 区块链安全的移动投票应用程序遭到了麻省理工学院研究人员的猛烈抨击，他们 报道 他们发现了几个安全漏洞。

麻省理工学院的研究人员表示，他们的安全分析指出了一些弱点，这些弱点将使黑客能够“改变、阻止或暴露单个用户的投票方式”，“给用户带来潜在的隐私问题”，而且透明度有限，限制了安全研究人员确保安全的能力。应用程序的完整性。

他们在一份报告中写道：“我们的调查结果具体说明了反对互联网投票的普遍智慧，以及透明度对选举合法性的重要性。” 纸 描述他们对 Voatz 系统的分析。

为了进行分析，麻省理工学院的研究人员对应用程序进行了逆向工程，并创建了 Voatz 服务器的模型。他们表示，该公司的“系统可用文档最少”，导致他们无法对实际投票过程进行测试，因此他们的研究提出了“对应用程序本身可见的选举过程的分析”。

在发布该论文之前，麻省理工学院的团队将其调查结果提交给国土安全部的网络安全和基础设施安全局，该局的狩猎和事件响应小组 (HIRT) 调查了 Voatz 网络环境中当前或之前是否存在恶意活动的任何证据。

根据 2019 年 XNUMX 月针对 Voatz 企业和云网络进行的为期一周的评估，CISA 没有发现任何主动威胁的证据 Coindesk。在 HIRT 中 报告调查人员表示，他们发现了一些可能引起未来担忧的问题，但总体而言，他们赞扬了该公司“在使用金丝雀、漏洞赏金、Shodan 警报以及主动内部扫描和红队方面采取的积极措施”。

HIRT 没有评估应用程序本身的安全性。

在一个 博客文章 该公司的标题为“Voatz 对研究人员有缺陷的报告的回应”，详细介绍了该研究的三个“基本”缺陷。

首先，该公司官员表示，麻省理工学院团队使用了 Android 版本的 Voatz 应用程序，该应用程序“在披露时至少有 27 个版本，且未在选举中使用”。其次，该应用程序从未连接到托管在 Amazon Web Services 和 Microsoft Azure 云中的 Voatz 服务器，这使得研究人员无法在该应用程序中注册、验证身份或接收或投票。第三，该公司表示，研究人员并没有访问 Voatz 服务器，而是“虚构了”服务器的“想象版本”，假设了它们的工作方式，并做出了“完全错误的”假设。

针对研究人员对该公司缺乏透明度的抱怨，沃茨表示，该公司与“合格的协作研究人员”合作。它还强调，在所有使用 Voatz 应用程序的选举中（涉及不到 600 名选民），没有报告任何问题。

该博客表示：“现实情况是，与那些难以投票的人可用的任何现有选项相比，继续我们的移动投票试点最有可能提高可访问性、安全性和弹性。”

Voatz 应用程序在西弗吉尼亚州使用最为广泛。首先是国务卿麦克·华纳 测试 合格的海外军人可以在 2018 年 2018 月的县初选中进行缺席投票。该州 144 年 30 月的选举也使用了这一选项，来自 XNUMX 个不同国家的 XNUMX 名选民能够投票。二月份，该应用程序将向身体残疾的缺席选民提供。

用户将该应用程序下载到智能手机上，通过提供与自拍照相匹配的驾驶执照、身份证或护照照片来验证自己的身份。一旦选民的身份得到确认，他们就会收到一张基于他们在当地选区收到的移动选票的移动选票。分布式账本技术确保投票一旦被记录就无法被篡改。该应用程序还被用于 科罗拉多州 和 犹他州.

CoinDesk 联系的一位 Voatz 倡导者表示，该应用程序的可访问性优势远远超过了任何安全风险。犹他州犹他县的选举审计员阿米莉亚·鲍尔斯·加德纳 (Amelia Powers Gardner) 负责监督她对残疾选民和部署在海外的军人使用 Voatz 系统的情况，她表示，对于其他被剥夺投票权的群体来说，Voatz 系统比电子邮件选票要好得多。

“虽然这些关于移动加载的担忧可能是合理的，但它们并没有达到让我质疑移动应用程序使用的安全水平，”她告诉 Coindesk。

来源：https://gcn.com/articles/2020/02/14/mit-voatz-voting-app-security.aspx