Предприятие Voatz из Массачусетса, представляющее США , недавно было обнаружено и привлекло внимание со всех сторон.
Voatz продвигает мобильное приложение для голосования на блокчейне, которое, как было исследовано, имеет множество лазеек в безопасности и, таким образом, вызвало много общественной критики, а лазейки в безопасности особенно серьезны в отношении безопасности данных.
Важность контроля над этими вопросами безопасности тем более важна, что в США приближается неделя выборов. аудите безопасности приложения для выборов в США включает обзор безопасности на 122 страницах, а еще на 78 страницах освещаются соображения по моделированию угроз.
Риски безопасности приложения для выборов в США: Voatz не нужен блокчейн?
Блокчейн, который использует Voatz, не распространяется на мобильный клиент, что, в свою очередь, создает риски для безопасности приложения для выборов в США.
Привлекательность этого блокчейн-приложения в том, что оно не требует от избирателей доверять кому-либо, поскольку это децентрализованная система trac однако Voatz не распространяет это на публику. Voatz использует блокчейн Hyperledger в качестве журнала аудита. Это не передовая технология блокчейна, так как это может быть легко сделано с помощью базы данных с журналом аудита.
В аудиторском отчете было установлено, что система Voatz не имеет каких-либо послаблений для деанонимизации избирателей в зависимости от периода, когда их голос был подан в приложении. Voatz утверждает, что существует «микснет», который передает информацию в блокчейн после ее анонимизации.
Риски безопасности приложения для выборов в США: выводы Массачусетского технологического института подтвердились
Массачусетский технологический институт — исследователи Массачусетского технологического института 13 февраля опубликовали отчет, в котором утверждалось, что блокчейн Voatz имеет серьезные проблемы с безопасностью, на что Voatz ответил позже в тот же день и опроверг утверждения Массачусетского технологического института.
Как оказалось, ответ от Voatz был написан через три дня после того, как след Bits подтвердил уязвимости вездесущей безопасности для MIT после того, как он получил сводку проблем от Национальной безопасности США.
Предыдущие проекты по рискам безопасности приложений для выборов в США не были завершены?
Это был первый отчет, в котором было проведено исследование белого ящика, которое привело к этим выводам; до этого было проведено много отчетов, но они были недостаточно полными. Trail of Bits резюмировала предыдущие отчеты следующим образом.
Проверка безопасности была проведена NCC еще в 2019 году, но, поскольку она была частной, технические специалисты по безопасности не привлекались.
В октябре 2018 года ShiftState провела широкомасштабную гигиеническую проверку архитектуры блокчейна, потока данных и решений по устранению угроз; однако этот обзор не засчитывался для поиска ошибок в самом приложении.
Последняя проверка безопасности была проведена в октябре 2019 года, в ходе которой просто оценивались облачные ресурсы и возможность взлома приложения. Предыдущие отчеты не включали оценки проблем безопасности серверов и серверных частей, что делало предыдущие отчеты неполными.
С одной стороны, разные штаты США рассматривают возможность голосования на основе блокчейна. С другой стороны, в отчете Trail of Bits говорится, что эти отчеты были просто техническими документами, и игнорирование этих лазеек в оценке ставит вопрос о том, достаточно ли квалифицированы избранные должностные лица, чтобы читать эти документы.
