L'azienda con sede nel Massachusetts Voatz, l'app blockchain per le elezioni statunitensi che mette a rischio la sicurezza, è stata recentemente scoperta e sta suscitando critiche da più parti.
Voatz ha promosso un'app di voto mobile basata su blockchain che è stata oggetto di indagini per la presenza di numerose falle nella sicurezza e che ha quindi suscitato numerose critiche da parte del pubblico. Le falle nella sicurezza sono particolarmente gravi per quanto riguarda la sicurezza dei dati.
L'importanza di controllare questi problemi di sicurezza è ancora più rilevante con l'avvicinarsi della settimana elettorale negli Stati Uniti. Il rapporto di audit sulla sicurezza dell'app per le elezioni statunitensi include una revisione di 122 pagine, con ulteriori 78 pagine che evidenziano considerazioni sulla modellazione delle minacce.
Rischi per la sicurezza delle app per le elezioni negli Stati Uniti: Voatz non ha bisogno della blockchain?
La blockchain utilizzata da Voatz non si estende al client mobile, creando a sua volta rischi per la sicurezza delle app elettorali statunitensi.
Il punto trac di questa app blockchain è che non richiede agli elettori di fidarsi di nessuno, poiché si tratta di un sistema decentralizzato; tuttavia, Voatz non estende questa funzionalità al pubblico. Voatz utilizza una blockchain Hyperledger come registro di controllo. Questa non è una tecnologia blockchain all'avanguardia, poiché può essere facilmente gestita da un database con un registro di controllo.
Il rapporto di audit ha rilevato che il sistema Voatz non prevede alcuna agevolazione per la deanonimizzazione degli elettori in base al periodo in cui il loro voto è stato espresso nell'app. Voatz sostiene che esista una "mixnet" che archivia le informazioni sulla blockchain dopo che sono state rese anonime.
Rischi per la sicurezza delle app elettorali statunitensi: confermate le conclusioni del MIT
i ricercatori del Massachusetts Institute of Technology (MIT) un rapporto in cui affermavano che la blockchain di Voatz presentava gravi problemi di sicurezza; Voatz ha risposto più tardi lo stesso giorno, confutando le affermazioni del MIT.
A quanto pare, la risposta di Voatz è stata scritta tre giorni dopo che la pista di Bits aveva verificato le vulnerabilità di sicurezza di Ubiquity al MIT, dopo aver ricevuto un riepilogo dei problemi da parte del Dipartimento della Sicurezza Interna degli Stati Uniti.
I precedenti progetti sui rischi per la sicurezza delle app elettorali negli Stati Uniti non sono stati completati?
Questo è stato il primo rapporto a condurre un'indagine white box che ha portato a questi risultati; in precedenza, erano stati condotti molti rapporti, ma non erano sufficientemente esaustivi. Trail of Bits ha riassunto i rapporti precedenti come segue.
Nel 2019 l'NCC ha condotto una revisione della sicurezza, ma poiché si trattava di un'organizzazione privata, non sono stati impiegati esperti di sicurezza tecnica.
Nell'ottobre del 2018, ShiftState ha condotto un'ampia revisione dell'architettura blockchain, del flusso di dati e delle decisioni di mitigazione delle minacce; tuttavia, questa revisione non ha preso in considerazione la ricerca di bug nell'applicazione stessa.
L'ultima revisione di sicurezza è stata condotta nell'ottobre 2019 e si è limitata a valutare le risorse cloud e la vulnerabilità dell'app. I report precedenti non includevano valutazioni dei problemi di sicurezza del server e del back-end, il che li rendeva incomprensibili.
Da un lato, diversi stati americani stanno prendendo in considerazione il voto basato sulla blockchain. Dall'altro, il rapporto di Trail of Bits afferma che questi rapporti erano meri documenti tecnici e che il fatto di trascurare queste lacune nella valutazione solleva la questione se i funzionari eletti siano sufficientemente qualificati per leggerli.
