麻省理工学院研究人员表示,在美国飞行的移动投票应用程序是漏洞的
众多国家的选举官员驾驶各种移动投票应用程序作为扩大对民意调查的方法,但麻省理工学院研究人员表示,其中一个流行的应用程序有一个安全漏洞,可以打开它由坏行动者篡改篡改。
应用程序的麻省理工学院分析称为voatz,突出了许多可能允许黑客“改变,停止或公开杀查用户投票的弱点。”
此外,研究人员发现,VOATZ对基于Palo Alto的供应商Jumio进行选民识别和验证为用户带来了潜在的隐私问题。
本研究涉及本月的疲惫的困境,困扰着Iowa民主党核心核心核心核心,它使用了在线应用程序来存储投票,但由于编码缺陷和测试不足而无法进行准确。
一些安全专家长期以来,据称,唯一安全的投票形式是纸张选票。
voatz.VOATZ iPhone移动投票应用程序。
VOATZ移动投票申请已用于小型飞行员,涉及丹佛,西弗吉尼亚州西弗吉尼亚州的五个县的大约600名选民,在俄勒冈州,犹他州和华盛顿州的五个县,主要重点是在海外生活的缺席选民的包容性。
作为响应,voatz称为麻省理工学院报告“有缺陷”,因为它基于它对应用程序长时间的Android版本的分析。
“有研究人员是否采取了时间,就像近100名其他研究人员一样,通过我们的公共BUG BOUNTY计划在Hackerone上使用最新版本的平台来测试和验证他们的索赔,他们未结束制作一份提出的报告,这些报告错误方法的基础,“今天在博客帖子中陈述。
“我们希望清楚地说,迄今为止涉及少于600名选民的所有政府试点选举,未经报告的问题安全,安全地进行了少于600名选民,”沃德兹说。
2018年,西弗吉尼亚州试图为Voatz的移动投票应用程序,用于居民服务成员和海外的家庭,他们在中期大选中投票。
弗吉尼亚州弗吉尼亚州秘书处的办公室指出,2018年voatz飞行员的国土安全安全评估表明,在供应商的网络中检测到“没有威胁演员行为或过去的婚礼活动的行为或文物。”
根据国家办事处秘书的说法,由voatz Plaform创建的纸张选票的审计也证实了结果准确。
“我们希望将这一句话到像计算机上的媒体网点,以确保WV选民,我们正在采取各种可能的预防措施,以平衡选举安全和与WV要求提供缺席的选票,以电子方式向海外,军事和缺席选民提供与身体残疾的海外, “西弗吉尼亚州澳大利亚州弗吉尼亚州澳大利亚州副职员副负责人迈克·王后通过电子邮件表示。
然而,麻省理工学院的研究强调了VOATZ的移动应用程序设计,更加透明,因为有关该技术的公共信息是“模糊”。
Voatz的平台使用生物识别性的组合,例如移动电话的面部识别,以及硬件支持的密钥库,提供端到端加密和选民可核解的选票。它还使用BlockChain作为不可变电子分类帐来存储投票结果。
研究人员在他们的论文中说,沃达茨已经拒绝提供有关其平台的正式细节,引用了保护知识产权的必要性。
在今天的博客文章中,VOATZ称研究人员的方法“有缺陷”,其中“使任何关于它们损害整体系统的能力的任何索赔无效。
“简而言之,在没有任何证据或与服务器的连接的情况下对后端服务器进行主张否定代表研究人员的任何信誉,”Voatz说。
研究人员还呼吁voatz出去报告2018年的密歇根州大学研究员进行了对Voatz应用程序的分析。“这导致联邦调查局对研究人员进行了调查,”麻省理工学院的研究人员说。
这不是第一次普遍批评,因为没有更开放的技术。去年5月,来自Lawrence Livermore国家实验室和南卡罗来纳大学的计算机科学家以及选举监督团体,发表了一篇批评Voatz的论文,以便没有发布其技术的任何“详细技术描述”。
“至少有四家公司试图为高赌场选举提供互联网或移动投票解决方案,其中一个2020名民主党总统候选人通过他的政策板条的区块链列入了移动设备的投票,”麻省理工学院的研究人员在纸上说。“为了我们的知识,只有Voatz成功地攻击了这样的系统。”
与Voatz,民主生活,Votem,SecureVote和Scytl一起在包括公司股东和大学董事会选举中的各种公共或私人投票中的所有驾驶或网上投票技术。最近,一个西雅图地区在一个监事会选举中驾驶了民主的现场技术,该技术开放为120万登记选民。
Tusk慈善事件,一项非营利组织专注于促进移动投票作为提高选民投票的方式,为政府实施了移动投票飞行员提供了财政支持,允许该机构选择供应商提供者。
在对计算机世界的声明中,托斯表示,由于它进行了独立的第三方审计,这表明它表明,这表明抛弃了整个街区的投票是准确地记录和制表的票据的结果。“
“随着这一点,我们总是欢迎新的安全信息,并将与安全专家合作,审查本文,”塔斯克说。“安全性是一个迭代过程,只能随着时间的推移越来越好。我们的选举中没有错误的空间,特别是当涉及数据泄漏时,损害加密,损坏或拒绝服务攻击时。“
Medici Ventures,Overstock.com的全资投资子公司也支持VOATZ,其应用主要被用来允许缺席选民服务成员及其家人通过来自世界任何地方的智能手机施放他们的选票。
Jonathan Johnson,Outsock和Medici Ventures总裁的首席执行官,回应了一篇关于麻省理工学院学习的纽约时报文章的声明,称他认为沃达茨技术是负责任和安全的。
“它不仅可以防止投票欺诈,但它也保护每个选民的隐私。约翰逊说,voatz应用程序甚至可以审核可以审核以保证投票的保真度。“这是,我们相信,在选举技术中安全创新的正确道路。我们不应该让我们自己剥夺投票的未来。“
包括安全专家在内的移动或在线投票的批评者认为,它相信它开辟了服务器渗透攻击,客户端 - 设备恶意软件,拒绝服务攻击和其他中断的前景 - 所有与传染选民相关联的攻击者“具有恶意软件或感染计算机的计算机在选举办公室处理和计数选票。
杰里米·埃普斯坦(Epstem)的美国技术政策委员会(USTPC)协会副主席(USTPC),一直是移动投票平台的声音批评者,包括Voatz。他说,麻省理工学院的学习是“非常彻底”,并恰好展示了多年来一直在说的专家。
“互联网投票是有风险的。对于没有访问源代码或其他内部信息的攻击者,voatz系统甚至易受攻击者易受攻击,甚至没有惊讶。“埃普斯坦通过电子邮件表示,甚至没有访问源代码或其他内部信息的攻击者。”“麻省理工学院所证明的袭击符合有兴趣操纵美国选举的国家对手的能力,而这样的对手赢得了作为麻省理工学院团队已经完成的,将我们的结果发布,让我们选择可能无法检测到的选举操纵。“
五岁的voatz抨击麻省理工学院研究人员,即使是他们曾经向公司服务器的过时的应用程序连接,它也由亚马逊AWS和Microsoft Azure托管。
在没有连接到录制公共投票的实际服务器的情况下,“研究人员制作了一个想象的版本的Voatz服务器,假设他们的工作方式,然后对System组件之间的相互作用进行了假设,”Voatz说。
Epstein反驳了voatz的评论“证明他们不了解攻击的严重程度或一般的安全运作方式。
Epstein表示,“在真正的选举中妥协中,任何使用VOATZ产品的选举官员将得到很好的建议取消他们的计划。”