总部位于马萨诸塞州的 Voatz 公司,其基于区块链技术的美国选举应用程序的安全风险最近被曝光,并引起了各方的强烈关注。.
Voatz 一直在推广一款基于区块链的移动投票应用程序,但经调查发现该应用程序存在许多安全漏洞,因此受到了公众的广泛批评,其中数据安全方面的安全漏洞尤其严重。.
随着美国大选周临近,控制这些安全问题显得尤为重要。美国大选应用程序的安全审计包含一份长达122页的安全审查报告,另有78页重点阐述了威胁建模方面的考量。
美国选举应用程序安全风险:Voatz 不需要区块链?
Voatz 使用的区块链并未扩展到移动客户端,这反过来又造成了美国选举应用程序的安全风险。.
吸引力在于它是一个去中心化系统,无需投票者信任任何人;然而,Voatz并未将这一特性向公众开放。Voatztrac因为使用带有审计日志的数据库也能轻松实现同样的功能。
审计报告发现,Voatz系统没有根据投票时间段对选民进行去匿名化处理。Voatz声称,存在一个“混合网络”,用于在匿名化后将信息上传到区块链。
美国选举应用程序存在安全风险:麻省理工学院的研究结果证实
麻省理工学院 (MIT) 的研究人员于 2 月 13 日发布了一份报告,声称 Voatz 的区块链存在重大安全问题。当天晚些时候,Voatz 对此作出回应,驳斥了 MIT 的说法。
事实证明,Voatz 的回应是在 Bits 的追踪结果向麻省理工学院证实了普遍存在的安全漏洞三天后才写成的,此前麻省理工学院收到了美国国土安全部提交的问题摘要。.
之前的美国选举应用程序安全风险项目是否尚未完成?
这是首份采用白盒测试方法得出这些结论的报告;在此之前,虽然也有许多报告,但都不够全面。Trail of Bits 对之前的报告总结如下。
早在 2019 年就进行了一次安全审查,但由于它是私人性质的,所以没有聘用任何技术安全专家。
2018 年 10 月,ShiftState 对区块链架构、数据流和威胁缓解决策进行了广泛的卫生审查;然而,此次审查并未包括查找应用程序本身中的漏洞。
上一次安全审查是在2019年10月进行的,当时仅评估了云资源以及应用程序是否存在被黑客攻击的风险。之前的报告并未包含对服务器和后端安全问题的评估,因此不够全面。
一方面,美国各州正在考虑采用基于区块链的投票方式。另一方面,Trail of Bits 的报告指出,这些报告仅仅是技术文件,而忽略了这些评估漏洞,不禁令人质疑民选官员是否具备阅读这些文件的能力。
