郭一璞 发自 云凹非寺
量子位 报导 | 微信公众号 QbitAI
一款美国选举用的投票软件,被发现了惊世漏洞,引起美国左右密切关注,几乎全部新闻媒体都会报导。
这款手机软件名字叫做Voatz,用在2018年西弗吉尼亚州的中期选举上,此外丹弗、俄勒冈州和美国犹他州的大选,选民们也用的是这款手机软件。
除此之外2016年密苏里州民主党派全委会和同一年美国犹他州美国民主党全委会上,投票也是用的Voatz。
而MIT CSAIL的分析工作人员发现,这款APP不但会泄漏投票內容,乃至会控制选民帐户,转投别人。
监控、终断、改动投票
MIT的分析工作人员用反向工程的形式建立了Voatz手机软件的网络服务器实体模型,以后远程连接网络服务器,发现一切要看的一清二楚,想控制大选的hack可以依靠这一不安全的手机软件完成三件事:
1、见到客户实际投给了哪一位侯选人;
2、乃至可以终断客户的投票全过程;
3、改动客户的投票,让这种被控制的客户变成相关者的“网络水军”,投给他要想的侯选人。
因而,一旦有些人在互联网技术服务提供商或未数据加密的WiFi上动手脚,客户的手机软件便会有没有中招,而投票結果,很有可能便是被控制的。
开发设计Voatz的软件开发公司说,为了确保安全系数,她们用上区块链技术、生物识别技术、根据硬件配置的互联网飞地(enclaves)和Mixnets。
尽管提及了区块链技术,但科研工作人员说,Voatz沒有发布一切有关这一区块链技术怎样运转的信息内容,都没有公布一切源码或文本文档。
乃至,除开投票漏洞,这款投票软件也有个人隐私问题。手机软件中的ID认证问题是以外界经销商连接的,因而,一旦外界经销商发生问题,客户的图片和驾驶证等真实身份数据信息便会泄漏。
发现漏洞以后,MIT的分析工作人员快速通知了英国国土安全局的互联网安全和基础设施建设局(CISA),并和有关侯选人沟通交流善后处理。
那样来看,依靠互联网技术做大选那样关键的事儿,现阶段还不能确保彻底安全性。
创作者提议该类手机软件开源系统
此项发现的三位创作者,均来源于MIT CSAIL。
一作和二作全是在学博士研究生。一作Mike Specter,科学研究系统优化、密码算法和公共性对策的联系,也是Google的研究者,在Android安全性和个人隐私精英团队工作中。
二作James Koppel,现阶段在CSAIL下边的辅助设计程序编写精英团队,一路从CMU大学本科看到MIT研究生再到博士研究生,曾获成千上万奖励金,还开俩家企业,也曾是一名ACM-ICPC决赛参赛选手。
针对此项有关投票软件的科学研究,Koppel提议,像Voatz那样的大选投票软件,其编码和构架应该是开源系统的,那样能够确保大选的相对高度透光性。
三作是MIT CSAIL首席科学家、互联网技术政策研究新项目负责人Daniel Weitzner,他在MIT教互联网技术社会政策等课程内容,是互联网技术现行政策行业知名度很大的权威专家。美国奥巴马统治阶段,他也曾在美国白宫出任英国副CTO,这一岗位也是美国总统智囊之一。
传送器
假如想掌握科学研究关键点,热烈欢迎查询三位学者的毕业论文:
The Ballot is Busted Before the Blockchain: A Security Analysis of Voatz, the First Internet Voting Application Used in U.S. Federal Elections
https://internetpolicy.mit.edu/wp-content/uploads/2020/02/SecurityAnalysisOfVoatz_Public.pdf