紧随 投票应用崩溃 根据爱荷华州民主党的原因,麻省理工学院的研究人员在2018年中期选举期间在西弗吉尼亚州使用的在线投票应用程序Voatz中发现了多个与安全和隐私相关的漏洞,并有望再次用于2020年竞赛。一种 安全审计 本周发布。
西弗吉尼亚州以
第一个使用在线投票应用程序的人,但Voatz(现在也已被使用)
在西弗吉尼亚州,丹佛,俄勒冈州的联邦,州和市政选举中,以及
犹他州–以及2016年马萨诸塞州民主大会和2016年犹他州
共和党公约-“具有允许不同类型的漏洞的漏洞
对手以更改,停止或公开用户的投票(包括附带渠道)
完全被动的网络对手可能恢复的攻击
用户的秘密投票”,麻省理工学院的审计发现。
通过使用第三方,隐私问题也比比皆是
服务,以提供针对该应用程序至关重要的功能(面向海外)
军人和其他缺席选民。
“该应用
本身依靠第三方服务来识别用户,而现代
应用程序通常使用第三方服务,全球范围内
制定隐私法规(例如GDPR和CCPA),以更好地告知
他们的公民如何收集,处理和保留其数据,”
Synopsys CyRC的首席安全策略师Tim Mackey说。 “当你
认为对许多人来说,投票是一项难以置信的个人决定,
收集过多的选民数据或披露投票过程的任何方面
减少到第三方。”
Voatz对研究人员的发现提出了质疑,并指出他们使用的旧版Android版本的移动应用程序(“至少有27个版本”)从未在选举中使用过; 从未将应用程序连接到由Amazon AWS和Microsoft Azure托管的Voatz服务器; 和一个博客说:“制造了想象中的Voatz服务器版本,假设了它们的工作方式,然后对系统组件之间的交互进行了假设。” 发表.
“我们要明确地说,我们所有的九个人
迄今为止进行的政府试点选举,涉及不到600次
选民已经安全,有保障地进行了报道,没有任何问题。”
中写道。
“与
爱荷华州核心小组应用程序,Voatz应用程序在缺乏以下假设的情况下运行
其运营的透明度是一个积极的特征,”麦克基说。 “麻省理工学院
研究人员发现Voatz开发团队采用了自定义加密
主要用于混淆数据流的策略,但更糟糕的是,
这样就可以确定用户为哪个候选人投票。”
麻省理工学院的学者指出,他们不是第一个
引发有关应用程序安全性的问题,但他们的报告代表
对Voatz进行第一次审核,结果显示出安全方面的惨淡景象
在线投票。 “我们的发现可以作为共同点的具体例证。
反对互联网投票的智慧,以及对互联网透明的重要性
选举的合法性,”他们说。
安保行业
专家警告说,保护在线投票技术至为重要
和值得信赖的选举。 “当您拥有很大一部分技术
部门呼吁使用纸质选票,以确保
选举结果,这是一个很好的指标,表明有实际问题要解决,”
Tripwire产品管理和战略副总裁Tim Erlin说。 “我们
根本不能忽略这些新投票带来的明显的安全风险
技术。 研究是明确的,没有必要的保证水平。”