麻省理工學院工程師團隊的最新研究發現,在名為Voatz的區塊鏈投票系統中存在一系列令人震驚的漏洞。對Voatz的Android應用程序進行反向工程后,研究人員得出結論稱,通過入侵選民手機,攻擊者幾乎可以隨意觀察、壓制和更改選票。該論文稱,網絡攻擊還可能揭示給定用戶在哪里投票,并可能在此過程中壓制投票。

@CD4Y~ZMAANNJ(N]7OL`C(R.png

研究人員說,最令人不安的是,破壞了管理Voatz API的服務器的攻擊者甚至可以在投票到來時更改選票,這在理論上應該可以防止分布式分類賬的威脅。

研究人員得出結論稱:“鑒于本文所討論的失敗的嚴重性,缺乏透明度,選民隱私的風險以及攻擊的瑣碎性質,我們建議放棄將這個應用程序用于高風險選舉的任何近期計劃。”

Voatz的基于區塊鏈的投票項目旨在替代缺席選票,安全研究人員對此表示懷疑,但許多科技界人士表示了濃厚興趣,其獲得了超過900萬美元的風險投資。在Voatz系統下,用戶將通過應用程序遠程投票,并通過手機的面部識別系統驗證身份。

Voatz已經在美國的一些次要選舉中使用,在2018年西弗吉尼亞選舉中收集了150多張選票。

Voatz 在博客文章中對MIT的發現提出了質疑,稱該研究方法存在“錯誤”。該公司的主要抱怨是,研究人員正在測試Voatz客戶端軟件的過時版本,并且沒有嘗試連接到Voatz服務器本身。博客文章寫道:“這種有缺陷的方法使關于其破壞整個系統能力的任何主張無效。”

%2PF[1KU(46QMG1T8)SEN`8.png

Voatz的高管在與記者的電話中辯稱,服務器端保護將阻止受感染的設備通過身份驗證進入更廣泛的系統。Voatz首席執行官Nimit Sawhney說道:“他們的所有主張都基于這樣的想法,因為他們能夠破壞設備,因此能夠破壞服務器。而這個假設是完全錯誤的。”

Voatz還強調了允許選民和選舉官員事后核實選票的措施。該公司產品負責人Hilary Braseth說道:“使用Voatz提交的每張選票都會產生紙質選票,使用Voatz的每位選民一旦提交,都會收到一張選票。”

到目前為止,這些解釋并沒有使安全專家印象深刻。約翰·霍普金斯密碼學家Matthew Green在Twitter上指出:“設備只是將票發送到服務器。服務器可能會將它們放在區塊鏈上,但是如果設備或服務器受到威脅,這將無濟于事。Voatz需要解釋他們如何處理這個問題。”

Voatz還在博文中指出了其正在進行的漏洞賞金計劃和定期的代碼審查,以證明該應用程序具有強大的安全性-但有些研究人員可能不同意。去年10月,該公司因FBI轉介事件而備受抨擊,消息人士告訴CNN該事件起源于密歇根大學的選舉安全課程。其他人則批評了Voatz的賞金計劃對研究人員來說是繁重且敵對的,這可能解釋了為什么麻省理工學院的研究人員沒有參加其中。

總體而言,這仍然不是第一次提出有關Voatz或區塊鏈投票的安全問題。11月,參議員Ron Wyden(D-OR)寫信給五角大樓,提出對Voatz安全性的擔憂,并要求對該應用程序進行全面審核。該請求最終被推遲。Wyden在一份聲明中說道:“網絡安全專家已經明確表明,互聯網投票是不安全的。現在距離共和黨人結束選舉安全禁令和讓國會通過整個選舉系統的強制性安全標準已經過去了很長時間。”

責任編輯:vivian

對文章打分

MIT:區塊鏈投票系統Voatz存在一系列漏洞 極易受到攻擊

2 (67%)
已有 條意見

    最新資訊

    加載中...

    今日最熱

    加載中...

    新品速遞

    熱門評論

      相關文章

      招聘


      Advertisment ad adsense googles cpro.baidu.com
      created by ceallan 安徽11选5走势图一定牛 qq捕鱼大亨充值 蓝宝石复刻赚钱 捷报比分网 牛逼彩票游戏 推广赚钱软件官网 电竞比分网绝地求生 福彩3d 美柚自媒体怎么赚钱 森林龙江棋牌作弊 快乐扑克 战舰世界赚钱的金币船 什么软件可以玩二人麻将 现在加盟利安赚钱吗 2014年世界杯即时指数 快乐时时彩 泰国卖豆腐赚钱吗