麻省理工学院(Massachusetts Institute of Technology)的研究人员表示,美国四个州使用的一款投票应用程序存在一些严重的安全缺陷,包括一个允许攻击者改变某人投票的漏洞。
周四,研究人员发表了一篇关于这个问题的长篇论文。这款被称为Voatz的应用据说是美国联邦选举中使用的第一个互联网投票应用。
由于它使用的是区块链技术,所以这个系统应该是安全的,但在对应用程序进行逆向工程之后,研究人员得出结论,这远非事实。他们说,不仅可以更改投票,攻击者甚至可以阻止将投票输入到应用程序中——如果这听起来很糟糕,他们说攻击者可以将数据输入到应用程序中。
研究人员总结道:“鉴于本文所讨论的问题的严重性、缺乏透明度、对选民隐私的风险以及攻击的琐碎本质,我们建议,在不久的将来,任何使用这款应用程序进行高风险选举的计划都应该被放弃。”
这款应用以前也曾被使用过,到目前为止,它只在那些难以进入投票机的人的小型选举中使用。但在它得到第一份合同后不久,许多人提出了安全问题。尽管如此,Voatz最近还是获得了700万美元的a轮融资,人们普遍认为,这款应用将用于2020年的初选。
在周四发表的一篇博客文章中,沃茨回击了麻省理工学院的研究人员,称这篇论文的大部分内容都是不真实的。首先,该公司表示,研究人员测试的版本是27个旧版本。沃茨说,如果他们测试了最新版本,那些漏洞就不会存在。
“其次,正如研究人员所承认的,这个过时的应用程序从来没有连接过Voatz服务器,而Voatz服务器是托管在亚马逊AWS和微软Azure上的,”Voatz说。“这意味着他们无法注册,无法通过层层身份检查来冒充合法选民,无法收到合法选票,无法提交任何合法选票或更改任何选民数据。”
该公司补充说,研究人员实际上并没有使用Voatz服务器,而是“假设”服务器,他们说这导致了一系列错误的假设。沃茨说:“我们要明确的是,我们迄今为止进行的所有9次政府试点选举,涉及不到600名选民,都是安全稳妥地进行的,没有报道说有任何问题。”