MIT:區塊鏈投票系統Voatz存在一系列漏洞極易受到攻擊
麻省理工學院工程師團隊的最新研究發現,在名為Voatz的區塊鏈投票系統中存在一系列令人震驚的漏洞。對Voatz的Android應用程序進行反向工程後,研究人員得出結論稱,通過入侵選民手機,攻擊者幾乎可以隨意觀察、壓制和更改選票。該論文稱,網絡攻擊還可能揭示給定用戶在哪裡投票,並可能在此過程中壓制投票。
研究人員說,最令人不安的是,破壞了管理Voatz API的服務器的攻擊者甚至可以在投票到來時更改選票,這在理論上應該可以防止分佈式分類賬的威脅。
研究人員得出結論稱:“鑑於本文所討論的失敗的嚴重性,缺乏透明度,選民隱私的風險以及攻擊的瑣碎性質,我們建議放棄將這個應用程序用於高風險選舉的任何近期計劃。”
Voatz的基於區塊鏈的投票項目旨在替代缺席選票,安全研究人員對此表示懷疑,但許多科技界人士表示了濃厚興趣,其獲得了超過900萬美元的風險投資。在Voatz系統下,用戶將通過應用程序遠程投票,並通過手機的面部識別系統驗證身份。
Voatz已經在美國的一些次要選舉中使用,在2018年西弗吉尼亞選舉中收集了150多張選票。
Voatz 在博客文章中對MIT的發現提出了質疑,稱該研究方法存在“錯誤”。該公司的主要抱怨是,研究人員正在測試Voatz客戶端軟件的過時版本,並且沒有嘗試連接到Voatz服務器本身。博客文章寫道:“這種有缺陷的方法使關於其破壞整個系統能力的任何主張無效。”
Voatz的高管在與記者的電話中辯稱,服務器端保護將阻止受感染的設備通過身份驗證進入更廣泛的系統。Voatz首席執行官Nimit Sawhney說道:“他們的所有主張都基於這樣的想法,因為他們能夠破壞設備,因此能夠破壞服務器。而這個假設是完全錯誤的。”
Voatz還強調了允許選民和選舉官員事後核實選票的措施。該公司產品負責人Hilary Braseth說道:“使用Voatz提交的每張選票都會產生紙質選票,使用Voatz的每位選民一旦提交,都會收到一張選票。”
到目前為止,這些解釋並沒有使安全專家印象深刻。約翰·霍普金斯密碼學家Matthew Green在Twitter上指出:“設備只是將票發送到服務器。服務器可能會將它們放在區塊鏈上,但是如果設備或服務器受到威脅,這將無濟於事。Voatz需要解釋他們如何處理這個問題。”
Voatz還在博文中指出了其正在進行的漏洞賞金計劃和定期的代碼審查,以證明該應用程序具有強大的安全性-但有些研究人員可能不同意。去年10月,該公司因FBI轉介事件而備受抨擊,消息人士告訴CNN該事件起源於密歇根大學的選舉安全課程。其他人則批評了Voatz的賞金計劃對研究人員來說是繁重且敵對的,這可能解釋了為什麼麻省理工學院的研究人員沒有參加其中。
總體而言,這仍然不是第一次提出有關Voatz或區塊鏈投票的安全問題。11月,參議員Ron Wyden(D-OR)寫信給五角大樓,提出對Voatz安全性的擔憂,並要求對該應用程序進行全面審核。該請求最終被推遲。Wyden在一份聲明中說道:“網絡安全專家已經明確表明,互聯網投票是不安全的。現在距離共和黨人結束選舉安全禁令和讓國會通過整個選舉系統的強制性安全標準已經過去了很長時間。 ”