紧随 投票应用崩溃 根据爱荷华州民主党的原因，麻省理工学院的研究人员在2018年中期选举期间在西弗吉尼亚州使用的在线投票应用程序Voatz中发现了多个与安全和隐私相关的漏洞，并有望再次用于2020年竞赛。一种 安全审计 本周发布。

西弗吉尼亚州以
第一个使用在线投票应用程序的人，但Voatz（现在也已被使用）
在西弗吉尼亚州，丹佛，俄勒冈州的联邦，州和市政选举中，以及
犹他州–以及2016年马萨诸塞州民主大会和2016年犹他州
共和党公约-“具有允许不同类型的漏洞的漏洞
对手以更改，停止或公开用户的投票（包括附带渠道）
完全被动的网络对手可能恢复的攻击
用户的秘密投票”，麻省理工学院的审计发现。

通过使用第三方，隐私问题也比比皆是
服务，以提供针对该应用程序至关重要的功能（面向海外）
军人和其他缺席选民。

“该应用
本身依靠第三方服务来识别用户，而现代
应用程序通常使用第三方服务，全球范围内
制定隐私法规（例如GDPR和CCPA），以更好地告知
他们的公民如何收集，处理和保留其数据，”
Synopsys CyRC的首席安全策略师Tim Mackey说。 “当你
认为对许多人来说，投票是一项难以置信的个人决定，
收集过多的选民数据或披露投票过程的任何方面
减少到第三方。”

Voatz对研究人员的发现提出了质疑，并指出他们使用的旧版Android版本的移动应用程序（“至少有27个版本”）从未在选举中使用过； 从未将应用程序连接到由Amazon AWS和Microsoft Azure托管的Voatz服务器； 和一个博客说：“制造了想象中的Voatz服务器版本，假设了它们的工作方式，然后对系统组件之间的交互进行了假设。” 发表.

“我们要明确地说，我们所有的九个人
迄今为止进行的政府试点选举，涉及不到600次
选民已经安全，有保障地进行了报道，没有任何问题。”
中写道。 

“与
爱荷华州核心小组应用程序，Voatz应用程序在缺乏以下假设的情况下运行
其运营的透明度是一个积极的特征，”麦克基说。 “麻省理工学院
研究人员发现Voatz开发团队采用了自定义加密
主要用于混淆数据流的策略，但更糟糕的是，
这样就可以确定用户为哪个候选人投票。”
 

麻省理工学院的学者指出，他们不是第一个
引发有关应用程序安全性的问题，但他们的报告代表
对Voatz进行第一次审核，结果显示出安全方面的惨淡景象
在线投票。 “我们的发现可以作为共同点的具体例证。
反对互联网投票的智慧，以及对互联网透明的重要性
选举的合法性，”他们说。

安保行业
专家警告说，保护在线投票技术至为重要
和值得信赖的选举。 “当您拥有很大一部分技术
部门呼吁使用纸质选票，以确保
选举结果，这是一个很好的指标，表明有实际问题要解决，”
Tripwire产品管理和战略副总裁Tim Erlin说。 “我们
根本不能忽略这些新投票带来的明显的安全风险
技术。 研究是明确的，没有必要的保证水平。”