iPhone iOS voatz區塊鏈投票

許多州的選舉官員已經試用了各種移動投票應用程序,以擴大對民意測驗的訪問,但是麻省理工學院的研究人員說,一種比較流行的應用程序具有安全漏洞,很可能會使其受到不良行為者的篡改。

麻省理工學院對名為Voatz的應用程序的分析強調了許多弱點,這些弱點可能使黑客“改變,停止或暴露單個用戶的投票方式”。

此外,研究人員發現,沃茨(Vaatz)使用位於帕洛阿爾託的供應商Jumio進行選民識別和驗證給用戶帶來了潛在的隱私問題。

這項研究緊隨本月陷入困境的愛荷華州民主黨總統核心小組之後,該小組使用在線應用程序存儲選票,但由於編碼缺陷和測試不足,未能做到準確。

一些安全專家長期以來一直認為,唯一安全的投票形式是紙票。

iPhone iOS voatz區塊鏈投票

沃茨

Voatz iPhone移動投票應用程序。

Voatz移動投票應用程序已在丹佛,西弗吉尼亞州,俄勒岡州,猶他州和華盛頓州的五個縣的總共只有約600名選民的小型飛行員中使用,這些州的主要重點是居住在海外的缺席選民的包容性。

對此,Voatz稱MIT報告“有缺陷”,因為它的分析基於久違的Android版本的應用程序。

“如果研究人員像其他近100位研究人員一樣花時間通過我們在HackerOne上的公共漏洞賞金計劃使用我們平台的最新版本來測試和驗證其主張,那麼他們最終將不會產生對主張的主張進行斷言的報告。沃茨在 今天的博客中說。

沃茨說:“我們要明確的是,迄今為止,我們進行的所有九次政府試點選舉都是安全,可靠地進行的,涉及不到600名選民。”

在2018年,西弗吉尼亞州試點了 Voatz的移動投票應用程序,該應用程序適用於希望在中期大選中投票的居民服務成員和居住在海外的家庭。

西弗吉尼亞州國務卿辦公室指出,國土安全部對2018年沃茨飛行員進行了安全評估,結果表明“在供應商的網絡中未檢測到威脅行為者的行為或過去邪惡活動的偽影”。

國務卿辦公室表示,對沃特茲大選在選舉日創建的紙票進行的審計也證實了結果的準確性。

“我們希望向諸如Computerworld之類的媒體宣傳,以確保WV選民能夠採取一切可能的預防措施,在選舉安全性和完整性與WV要求之間取得平衡,以電子方式向身體殘障的海外,軍事和缺席選民提供缺席選票,西弗吉尼亞州國務卿Mac Warner的副參謀長Mike Queen通過電子郵件說。

在  麻省理工學院的研究,但是, 強調了Voatz的移動應用設計更加透明,因為對技術的公共信息是“模糊的”最好的必要性。

Voatz的平台結合了生物識別技術(例如基於手機的面部識別)和硬件支持的密鑰庫,以提供端到端的加密選民可驗證的選票。它還使用區塊鏈作為不可變的電子分類帳來存儲投票結果。

研究人員在論文中說,Voatz拒絕提供有關其平台的正式細節,理由是需要保護知識產權。

Voatz在今天的博客中稱研究人員的方法“有缺陷”,“這種說法使有關他們破壞整個系統能力的說法無效。

Voatz說:“總而言之,在沒有任何證據或與服務器的連接的情況下對後端服務器提出索賠,就代表研究人員在任何程度上都沒有信譽,” Voatz說。

研究人員還稱Voatz報告了密歇根大學的一名研究人員,該研究人員於2018年對Voatz應用進行了分析。麻省理工學院的研究人員說:“這導致聯邦調查局對研究人員進行了調查。”

Voatz並不是第一次因為對技術的不開放而受到批評。去年五月,來自勞倫斯·利弗莫爾國家實驗室和南卡羅來納大學的計算機科學家以及選舉監督小組發表了一篇論文,批評沃茨沒有發布其技術的任何“詳細技術描述”。

麻省理工學院的研究人員在論文中說:“至少有四家公司試圖為高風險的選舉提供互聯網或移動投票解決方案,而一名2020年民主黨總統候選人已經通過區塊鏈在區塊鏈中通過移動設備進行投票。” 。“據我們所知,只有沃茨成功地部署了這樣的系統。”

與Voatz,Democracy LiveVotem,  SecureVote  和  Scytl一起,已經在各種公開或非公開投票中試用了移動或在線投票技術,包括公司股東和大學董事會選舉。最近,西雅圖一個區  在監事會選舉中試行了Democracy Live技術,該技術向120萬註冊選民開放。

非營利性的Tusk Philanthropies(非營利組織)致力於促進移動投票,以增加選民的參與度,該組織已提供財政支持,以幫助政府實施移動投票試點,允許代理商選擇供應商。

Tusk 在致Computerworld的一份聲明中說,它對所有試點選舉的結果充滿信心,因為它進行了獨立的第三方審核,“這表明對區塊鏈的投票進行了準確記錄和製表。”

Tusk說:“話雖如此,我們始終歡迎新的安全信息,並將與安全專家一起審查本文。” “安全性是一個迭代過程,隨著時間的流逝,它只會變得越來越好。我們的選舉沒有錯誤的餘地,尤其是在數據洩漏,加密遭到破壞,身份驗證失敗或拒絕服務攻擊方面。”

Overstock.com的全資投資子公司Medici Ventures也支持Voatz,該公司的應用程序主要用於允許缺席選民服務成員及其家人通過智能手機從世界各地投票。

Overstock首席執行官兼Medici Ventures總裁喬納森·約翰遜(Jonathan Johnson)在一份《紐約時報  關於麻省理工學院研究的文章中發表了回應,稱他相信Voatz技術是負責任和安全的。

“它不僅可以防止投票舞弊,而且還可以保護每個選民的隱私。沃茨(Voatz)應用程序甚至生成紙質選票,可以對其進行審核,以確保投票的真實性。”約翰遜說。“我們認為,這是朝著安全創新選舉技術的正確道路。我們不應讓自己破壞投票的未來。”

包括安全專家在內的移動或在線投票的批評者  認為,這開啟了服務器滲透攻擊,客戶端設備惡意軟件,拒絕服務攻擊和其他破壞的可能性,所有這些都與用惡意軟件感染選民的計算機或感染計算機有關。在選舉辦公室負責處理和計算選票。

計算機技術協會美國技術政策委員會(USTPC)副主席傑里米·愛潑斯坦(Jeremy Epstein)一直在批評包括Voatz在內的移動投票平台。他說,麻省理工學院的研究“非常徹底”,並確切地證明了專家們多年來一直在說什麼。

“互聯網投票存在風險。毫無疑問,Voatz系統容易受到多種攻擊,甚至是無法訪問源代碼或其他內部信息的攻擊者,” Epstein通過電子郵件說。“麻省理工學院展示的攻擊完全在有意操縱美國大選的民族國家對手的能力之內,而這樣的對手不會像麻省理工學院團隊那樣公佈其結果,這使我們的選舉可能無法被察覺被操縱的。”

五歲的Voatz抨擊MIT的研究人員,他們甚至從未將過時的應用程序連接到由Amazon AWS和Microsoft Azure託管的公司服務器上。

在沒有連接到記錄公眾投票的實際服務器的情況下,“研究人員製造了想像中的Voatz服務器版本,假設它們是如何工作的,然後對系統組件之間的交互進行了假設,這些假設完全是錯誤的,” Voatz說。

愛潑斯坦反駁說,沃茨的評論“表明他們既不了解攻擊的嚴重性,也不了解安全的總體運行方式。

愛潑斯坦說:“在真正的選舉中暗中發動襲擊會損害民主之前,任何使用沃茨產品的選舉官員都應被建議取消他們的計劃。”