总部位于马萨诸塞州的区块链美国大选应用Voatz近期被曝出安全风险,引发各方热议。
Voatz一直在推广一款区块链移动投票应用程序,该应用程序被调查存在大量安全漏洞,因此受到了很多公众的批评,其中数据安全方面的安全漏洞尤其严重。
随着美国选举周的临近,控制这些安全问题变得更加重要。 关于美国选举应用程序安全性的审计包括 122 页的安全审查,另外 78 页强调了威胁建模注意事项。
美国大选应用安全风险:Voatz 不需要区块链?
Voatz 使用的区块链并未扩展到移动客户端,从而造成了美国选举应用程序的安全风险。
吸引力在于它不需要选民信任任何人,因为它是一个分散的系统trac 然而,Voatz 并没有将其扩展到公众。 Voatz 使用 Hyperledger 区块链作为审计日志。 这不是正在使用的尖端区块链技术,因为这可以通过带有审计日志的数据库轻松完成。
审计报告发现,Voatz 系统并没有根据选民在应用程序中投票的时间段对选民进行去匿名化处理。 Voatz声称有一个“mixnet”,可以将匿名化的信息放到区块链上。
美国选举应用程序安全风险:麻省理工学院的调查结果得到证实
麻省理工学院——麻省理工学院的研究人员于 2 月 13 日发布了一份报告,声称 Voatz 的区块链存在重大安全问题,Voatz 在当天晚些时候对此做出了回应,并反驳了麻省理工学院的说法。
事实证明,Voatz 的回应是在 Bits 的踪迹向 MIT 收到美国国土安全部的问题摘要后向 MIT 核实了普遍存在的安全漏洞三天后写下的。
之前的美国大选应用程序安全风险项目没有完成?
这是第一份通过白盒调查得出这些发现的报告; 在此之前,已经做过很多报告,但不够全面。 Trail of Bits 将之前的报告总结如下。
早在 2019 年就进行了一次安全审查,但由于是私人的,因此没有聘请任何技术安全专家。
2018 年 10 月,ShiftState 对区块链架构、数据流和威胁缓解决策进行了广泛的卫生审查; 但是,此评论不计入搜索应用程序本身的错误。
最近一次安全审查是在 2019 年 10 月进行的,仅评估了云资源以及应用程序是否可被黑客攻击。 之前的报告没有包括对服务器和后端安全问题的评估,这使得之前的报告不全面。
一方面,美国不同州正在考虑基于区块链的投票。 而另一方面,《Trail of Bits》报告指出,这些报告仅仅是技术性文件,而忽视这些评估漏洞则带来了民选官员是否有足够资格阅读这些文件的问题。
