郭一璞 发自 云凹非寺
量子位 报道 | 公众号 QbitAI
一款美国选举用的投票软件,被发现了惊天漏洞,引发全美上下高度关注,几乎所有媒体都在报道。
这款软件名叫Voatz,用在2018年西弗吉尼亚州的中期选举上,另外丹佛、俄勒冈州和犹他州的选举,选民们也用的是这款软件。
此外2016年马萨诸塞州民主党代表大会和同年犹他州共和党代表大会上上,投票也是用的Voatz。
而MIT CSAIL的研究人员发现,这款软件不仅会泄露投票内容,甚至会操纵选民账户,投给其他人。
监视、中断、修改投票
MIT的研究人员用逆向工程的方式创建了Voatz软件的服务器模型,之后远程访问服务器,发现一切都看的清清楚楚,想操纵选举的黑客可以借助这个不安全的软件实现三件事:
1、看到用户具体投给了哪位候选人;
2、甚至可以中断用户的投票过程;
3、修改用户的投票,让这些被控制的用户成为利益相关者的“水军”,投给他们想要的候选人。
因此,一旦有人在互联网提供商或未加密的WiFi上做手脚,用户的软件就会中招,而投票结果,可能就是被操纵的。
开发Voatz的软件公司说,为了保证安全性,他们用上了区块链、生物识别、基于硬件的网络飞地(enclaves)和Mixnets。
虽然提到了区块链,但研究人员说,Voatz没有公布任何关于这个区块链如何运行的信息,也没有公开任何源代码或文档。
甚至,除了投票漏洞,这款投票软件还有隐私问题。软件中的ID验证问题是从外部供应商接入的,因此,一旦外部供应商出现问题,用户的照片和驾照等身份数据就会泄露。
发现漏洞之后,MIT的研究人员迅速通告了美国国土安全部的网络安全和基础设施局(CISA),并和相关候选人沟通善后。
这样看来,借助互联网做选举这样重要的事情,目前还无法保证完全安全。
作者建议此类软件开源
这项发现的三位作者,均来自MIT CSAIL。
一作和二作都是在读博士生。一作Mike Specter,研究系统安全、密码学和公共策略的交集,也是谷歌的研究员,在Android安全和隐私团队工作。
二作James Koppel,目前在CSAIL下面的计算机辅助编程团队,一路从CMU本科读到MIT硕士再到博士,曾获无数奖金,还开了两家公司,也曾是一名ACM-ICPC总决赛选手。
对于这项关于投票软件的研究,Koppel建议,像Voatz这样的选举投票软件,其代码和架构应该是开源的,这样才能保证选举的高度透明性。
三作是MIT CSAIL首席科学家、互联网政策研究项目主任Daniel Weitzner,他在MIT教互联网公共政策等课程,是互联网政策领域影响力巨大的专家。奥巴马当政时期,他也曾在白宫担任美国副CTO,这个职位也是总统幕僚之一。
传送门
如果想了解研究细节,欢迎查看三位研究者的论文:
The Ballot is Busted Before the Blockchain: A Security Analysis of Voatz, the First Internet Voting Application Used in U.S. Federal Elections
https://internetpolicy.mit.edu/wp-content/uploads/2020/02/SecurityAnalysisOfVoatz_Public.pdf
— 完 —
量子位 QbitAI · 头条号签约作者
关注我们,第一时间获知前沿科技动态
閱讀更多 量子位 的文章
