Das in Massachusetts ansässige Unternehmen Voatz, die Blockchain US-Wahl-App, wurde kürzlich ausgegraben und erregt von allen Seiten Aufsehen.
Voatz hat eine Blockchain Mobile Voting App beworben, die auf viele Sicherheitslücken untersucht wurde und daher viel öffentliche Kritik geerntet hat, und die Sicherheitslücken sind besonders gravierend in Bezug auf die Datensicherheit.
Die Kontrolle dieser Sicherheitsfragen ist umso wichtiger, je näher die Wahlwoche in den USA rückt. Der Prüfbericht zur Sicherheit der US-Wahl-App enthält eine 122-seitige Sicherheitsüberprüfung mit zusätzlichen 78 Seiten, die Überlegungen zur Bedrohungsmodellierung hervorheben.
Sicherheitsrisiken bei US-Wahl-App: Voatz braucht keine Blockchain?
Die Blockchain, die Voatz verwendet, erstreckt sich nicht auf den mobilen Client, was wiederum Sicherheitsrisiken für US-Wahl-Apps schafft.
Der trac dieser Blockchain-App besteht darin, dass die Wähler niemandem vertrauen müssen, da es sich um ein dezentralisiertes System handelt; Voatz dehnt dies jedoch nicht auf die Öffentlichkeit aus. Voatz verwendet eine Hyperledger-Blockchain als Audit-Log. Dies ist keine hochmoderne Blockchain-Technologie, da dies leicht durch eine Datenbank mit einem Audit-Protokoll erfolgen kann.
Der Prüfbericht stellte fest, dass das Voatz-System keine Erleichterung für die Deanonymisierung von Wählern basierend auf dem Zeitraum ihrer Stimmabgabe in der App bietet. Voatz behauptet, dass es ein „Mixnet“ gibt, das die Informationen auf der Blockchain landet, nachdem sie anonymisiert wurden.
Sicherheitsrisiken der US-Wahl-App: Ergebnisse des MIT bestätigt
Massachusetts Institute of Technology – MIT Forscher veröffentlichten am 13. Februar einen Bericht, in dem sie behaupteten, dass die Blockchain von Voatz große Sicherheitsprobleme aufwies, auf die Voatz später am selben Tag antwortete und die Behauptungen des MIT widerlegte.
Wie sich herausstellte, wurde die Antwort von Voatz drei Tage geschrieben, nachdem der Trail of Bits die allgegenwärtigen Sicherheitslücken an das MIT verifiziert hatte, nachdem es eine Zusammenfassung der Probleme von der United States Homeland Security erhalten hatte.
Frühere Projekte zu Sicherheitsrisiken für US-Wahl-Apps waren nicht abgeschlossen?
Dies war der erste Bericht, der eine White-Box-Untersuchung durchführte, die zu diesen Ergebnissen führte; Zuvor wurden viele Berichte erstellt, die jedoch nicht umfassend genug waren. Trail of Bits fasste die vorherigen Berichte wie folgt zusammen.
Eine Sicherheitsüberprüfung wurde bereits 2019 von NCC durchgeführt, aber da sie privat war, gab es keine Beschäftigung von technischen Sicherheitsexperten.
Im Oktober 2018 führte ShiftState eine umfassende Hygieneüberprüfung der Blockchain-Architektur, des Datenflusses und der Entscheidungen zur Bedrohungsminderung durch; Diese Überprüfung zählte jedoch nicht für die Suche nach Fehlern in der Anwendung selbst.
Die letzte Sicherheitsüberprüfung wurde im Oktober 2019 durchgeführt, bei der lediglich Cloud-Ressourcen bewertet wurden und ob die App hackbar war oder nicht. Die vorherigen Berichte enthielten keine Bewertungen von Server- und Back-End-Sicherheitsproblemen, was die vorherigen Berichte als unverständlich erscheinen ließ.
Einerseits erwägen verschiedene US-Bundesstaaten Auf der anderen Seite besagt der Trail of Bits-Bericht, dass diese Berichte lediglich technische Dokumente waren, und das Übersehen dieser Bewertungslücken wirft die Frage auf, ob gewählte Beamte qualifiziert genug sind, um diese Dokumente zu lesen.
