麻省理工学院研究人员表示,在美国飞行的移动投票应用程序是漏洞的
补丁星期二警报:确保暂时禁用Windows自动更新
Amal Clooney呼吁商业和技术解决世界问题
Microsoft Preps Service Pack-esque Windows 10 1909 for lex
Asana添加了新的集成,以帮助连接分布式团队
工业控制系统网络安全风险高,报告警告
三月在八月推出5克
Salesforce在12天中断后完成Pardot修复
Android升级实际上是改进吗?情况很复杂
谷歌与Mozilla匹配,减少了铬升级到四周之间的时间
荷兰隐私看门狗告诉银行不使用客户支付数据进行营销
Moseyle推出了企业的Apple MDM工具
美国技术产业的种族工资差距扩大,报告发现
F-secure谈到威胁狩猎,以便在APAC中避免网络攻击
网络攻击者使用更广泛的威胁
EE推出消费者5G,但专家说毫不急于升级
Google Buys Looker深化企业软件Arsenal
GDS与波兰对应物签订协议
播客:30K Mac感染“银麻雀”病毒; M1 Mac SSD健康
智能技术将改变荷兰邻居
Slack调整桌面应用程序更快,更高效
企业服务器供应链中的易受攻击的固件
Linux的超载手为开发人员提供链构建块
这是官方的:Win10'Seekers'将获得1809年的命令版本。你是一个卑鄙的,格雷克先生。
新的“获得Windows 10”公告到达KB 4493132中的Win7
Oracle推出基于区块链的业务应用程序
尽管Brexit,技术公司回到英国
Microsoft向Windows 10升级升级:你需要知道什么
SAP扩展了HANA的范围超越企业应用程序
谣言:Apple于2019年绘制一大大产品丹参
Microsoft更新教育团队,推出低成本Windows 10设备
Windows 10 1809采用仍在窖藏中
从9月开始削减批发纤维价格的OpenReach
首次罚款后,GDP更严重
W. VA。通过区块链的移动投票顺利进行
即将推出的Windows 10 1909:更新或升级?微软澄清
十亿美元的隐私罚款使CEO通知
是时候安装3月的Windows和Office补丁了
Apple的9月10日iPhone 11活动指南
新的Windows 7'仅安全性'更新安装遥测/ Snooping,UH,功能
奥姆·莎朗怀特在圣诞节下降
Mac,iPad,价格徒步旅行和企业替代品
国防部任命首席科学顾问
BlockChain.com银行谷歌云支持加密货币管理平台的增长
Apple失踪的Airpower可能会损害无线充电行业
警察苏格兰奖项国家网络合同到BT
如何使用Microsoft的新版本仪表板进行Windows更新和升级
这个月的Windows修补崩溃逐渐焦点
补丁周二即将到来,所以锁定自动更新
金融服务顶级网络攻击目标
您的位置:首页 >论坛 > 电子商务 >

麻省理工学院研究人员表示,在美国飞行的移动投票应用程序是漏洞的

2021-09-01 16:44:21 [来源]:

众多国家的选举官员驾驶各种移动投票应用程序作为扩大对民意调查的方法,但麻省理工学院研究人员表示,其中一个流行的应用程序有一个安全漏洞,可以打开它由坏行动者篡改篡改。

应用程序的麻省理工学院分析称为voatz,突出了许多可能允许黑客“改变,停止或公开杀查用户投票的弱点。”

此外,研究人员发现,VOATZ对基于Palo Alto的供应商Jumio进行选民识别和验证为用户带来了潜在的隐私问题。

本研究涉及本月的疲惫的困境,困扰着Iowa民主党核心核心核心核心,它使用了在线应用程序来存储投票,但由于编码缺陷和测试不足而无法进行准确。

一些安全专家长期以来,据称,唯一安全的投票形式是纸张选票。

voatz.

VOATZ iPhone移动投票应用程序。

VOATZ移动投票申请已用于小型飞行员,涉及丹佛,西弗吉尼亚州西弗吉尼亚州的五个县的大约600名选民,在俄勒冈州,犹他州和华盛顿州的五个县,主要重点是在海外生活的缺席选民的包容性。

作为响应,voatz称为麻省理工学院报告“有缺陷”,因为它基于它对应用程序长时间的Android版本的分析。

“有研究人员是否采取了时间,就像近100名其他研究人员一样,通过我们的公共BUG BOUNTY计划在Hackerone上使用最新版本的平台来测试和验证他们的索赔,他们未结束制作一份提出的报告,这些报告错误方法的基础,“今天在博客帖子中陈述。

“我们希望清楚地说,迄今为止涉及少于600名选民的所有政府试点选举,未经报告的问题安全,安全地进行了少于600名选民,”沃德兹说。

2018年,西弗吉尼亚州试图为Voatz的移动投票应用程序,用于居民服务成员和海外的家庭,他们在中期大选中投票。

弗吉尼亚州弗吉尼亚州秘书处的办公室指出,2018年voatz飞行员的国土安全安全评估表明,在供应商的网络中检测到“没有威胁演员行为或过去的婚礼活动的行为或文物。”

根据国家办事处秘书的说法,由voatz Plaform创建的纸张选票的审计也证实了结果准确。

“我们希望将这一句话到像计算机上的媒体网点,以确保WV选民,我们正在采取各种可能的预防措施,以平衡选举安全和与WV要求提供缺席的选票,以电子方式向海外,军事和缺席选民提供与身体残疾的海外, “西弗吉尼亚州澳大利亚州弗吉尼亚州澳大利亚州副职员副负责人迈克·王后通过电子邮件表示。

然而,麻省理工学院的研究强调了VOATZ的移动应用程序设计,更加透明,因为有关该技术的公共信息是“模糊”。

Voatz的平台使用生物识别性的组合,例如移动电话的面部识别,以及硬件支持的密钥库,提供端到端加密和选民可核解的选票。它还使用BlockChain作为不可变电子分类帐来存储投票结果。

研究人员在他们的论文中说,沃达茨已经拒绝提供有关其平台的正式细节,引用了保护知识产权的必要性。

在今天的博客文章中,VOATZ称研究人员的方法“有缺陷”,其中“使任何关于它们损害整体系统的能力的任何索赔无效。

“简而言之,在没有任何证据或与服务器的连接的情况下对后端服务器进行主张否定代表研究人员的任何信誉,”Voatz说。

研究人员还呼吁voatz出去报告2018年的密歇根州大学研究员进行了对Voatz应用程序的分析。“这导致联邦调查局对研究人员进行了调查,”麻省理工学院的研究人员说。

这不是第一次普遍批评,因为没有更开放的技术。去年5月,来自Lawrence Livermore国家实验室和南卡罗来纳大学的计算机科学家以及选举监督团体,发表了一篇批评Voatz的论文,以便没有发布其技术的任何“详细技术描述”。

“至少有四家公司试图为高赌场选举提供互联网或移动投票解决方案,其中一个2020名民主党总统候选人通过他的政策板条的区块链列入了移动设备的投票,”麻省理工学院的研究人员在纸上说。“为了我们的知识,只有Voatz成功地攻击了这样的系统。”

与Voatz,民主生活,Votem,SecureVote和Scytl一起在包括公司股东和大学董事会选举中的各种公共或私人投票中的所有驾驶或网上投票技术。最近,一个西雅图地区在一个监事会选举中驾驶了民主的现场技术,该技术开放为120万登记选民。

Tusk慈善事件,一项非营利组织专注于促进移动投票作为提高选民投票的方式,为政府实施了移动投票飞行员提供了财政支持,允许该机构选择供应商提供者。

在对计算机世界的声明中,托斯表示,由于它进行了独立的第三方审计,这表明它表明,这表明抛弃了整个街区的投票是准确地记录和制表的票据的结果。“

“随着这一点,我们总是欢迎新的安全信息,并将与安全专家合作,审查本文,”塔斯克说。“安全性是一个迭代过程,只能随着时间的推移越来越好。我们的选举中没有错误的空间,特别是当涉及数据泄漏时,损害加密,损坏或拒绝服务攻击时。“

Medici Ventures,Overstock.com的全资投资子公司也支持VOATZ,其应用主要被用来允许缺席选民服务成员及其家人通过来自世界任何地方的智能手机施放他们的选票。

Jonathan Johnson,Outsock和Medici Ventures总裁的首席执行官,回应了一篇关于麻省理工学院学习的纽约时报文章的声明,称他认为沃达茨技术是负责任和安全的。

“它不仅可以防止投票欺诈,但它也保护每个选民的隐私。约翰逊说,voatz应用程序甚至可以审核可以审核以保证投票的保真度。“这是,我们相信,在选举技术中安全创新的正确道路。我们不应该让我们自己剥夺投票的未来。“

包括安全专家在内的移动或在线投票的批评者认为,它相信它开辟了服务器渗透攻击,客户端 - 设备恶意软件,拒绝服务攻击和其他中断的前景 - 所有与传染选民相关联的攻击者“具有恶意软件或感染计算机的计算机在选举办公室处理和计数选票。

杰里米·埃普斯坦(Epstem)的美国技术政策委员会(USTPC)协会副主席(USTPC),一直是移动投票平台的声音批评者,包括Voatz。他说,麻省理工学院的学习是“非常彻底”,并恰好展示了多年来一直在说的专家。

“互联网投票是有风险的。对于没有访问源代码或其他内部信息的攻击者,voatz系统甚至易受攻击者易受攻击,甚至没有惊讶。“埃普斯坦通过电子邮件表示,甚至没有访问源代码或其他内部信息的攻击者。”“麻省理工学院所证明的袭击符合有兴趣操纵美国选举的国家对手的能力,而这样的对手赢得了作为麻省理工学院团队已经完成的,将我们的结果发布,让我们选择可能无法检测到的选举操纵。“

五岁的voatz抨击麻省理工学院研究人员,即使是他们曾经向公司服务器的过时的应用程序连接,它也由亚马逊AWS和Microsoft Azure托管。

在没有连接到录制公共投票的实际服务器的情况下,“研究人员制作了一个想象的版本的Voatz服务器,假设他们的工作方式,然后对System组件之间的相互作用进行了假设,”Voatz说。

Epstein反驳了voatz的评论“证明他们不了解攻击的严重程度或一般的安全运作方式。

Epstein表示,“在真正的选举中妥协中,任何使用VOATZ产品的选举官员将得到很好的建议取消他们的计划。”

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。