Forskere identificerer sikkerhedssårbarheder i stemme -appen

I de seneste år, der har været en stigende interesse for at bruge internet og mobilteknologi til at øge adgangen til afstemningsprocessen. På samme tid, computersikkerhedseksperter advarer om, at papirafstemninger er det eneste sikre afstemningsmiddel.

Nu, MIT -forskere rejser endnu en bekymring:De siger, at de har afdækket sikkerhedssårbarheder i en mobil afstemningsapplikation, der blev brugt under midtvejsvalget 2018 i West Virginia. Deres sikkerhedsanalyse af applikationen, kaldet Voatz, peger på en række svagheder, herunder hackers mulighed for at ændre, hold op, eller afsløre, hvordan en individuel bruger har stemt. Derudover forskerne fandt ud af, at Voatz's brug af en tredjepartsleverandør til vælgeridentifikation og verifikation udgør potentielle privatlivsproblemer for brugerne.

Resultaterne er beskrevet i et nyt teknisk papir af Michael Specter, en kandidatstuderende ved MIT's afdeling for elektroteknik og datalogi (EECS) og medlem af MIT's Internet Policy Research Initiative, og James Koppel, også en kandidatstuderende i EECS. Undersøgelsen blev udført under vejledning af Daniel Weitzner, en hovedforsker ved MIT's Computer Science and Artificial Intelligence Lab (CSAIL) og grundlægger af Internet Policy Research Initiative.

Efter at have afdækket disse sikkerhedsrisici, forskerne videregav deres resultater til Department of Homeland Security's Cybersecurity and Infrastructure Agency (CISA). Forskerne, sammen med Boston University/MIT Technology Law Clinic, arbejdet i tæt koordinering med valgsikkerhedsembedsmænd inden for CISA for at sikre, at påvirkede valgembedsmænd og sælgeren var klar over resultaterne, inden forskningen blev offentliggjort. Dette omfattede udarbejdelse af skriftlige resuméer af fundene med proof-of-concept-kode, og direkte diskussioner med berørte valgembedsmænd om opkald arrangeret af CISA.

Ud over brugen ved valget i West Virginia i 2018, appen blev indsat ved valg i Denver, Oregon, og Utah, samt ved Massachusetts Democratic Convention 2016 og 2016 i Utah Republican Convention. Voatz blev ikke brugt under caucuserne i Iowa i 2020.

Resultaterne understreger behovet for gennemsigtighed i udformningen af ​​stemmesystemer, ifølge forskerne.

"Vi har alle en interesse i at øge adgangen til stemmesedlen, men for at bevare tilliden til vores valgsystem, vi skal sikre, at afstemningssystemer opfylder de høje tekniske og driftssikkerhedsstandarder, før de sættes i marken, "siger Weitzner." Vi kan ikke eksperimentere med vores demokrati. "

"Sikkerhedseksperternes konsensus er, at det ikke er muligt at afholde et sikkert valg over internettet i dag, "tilføjer Koppel." Begrundelsen er, at svagheder overalt i en stor kæde kan give en modstander unødig indflydelse på et valg, og dagens software er rystende nok til, at eksistensen af ​​ukendte udnyttelige fejl er for stor en risiko at tage. "

Nedbrydning af resultaterne

Forskerne blev oprindeligt inspireret til at udføre en sikkerhedsanalyse af Voatz baseret på Specters forskning med Ronald Rivest, Institutprofessor ved MIT; Neha Narula, direktør for MIT Digital Currency Initiative; og Sunoo Park SM '15, Ph.d. '18, undersøge muligheden for at bruge blockchain -systemer ved valg. Ifølge forskerne, Voatz hævder at bruge en tilladt blockchain for at sikre sikkerhed, men har ikke frigivet nogen kildekode eller offentlig dokumentation for, hvordan deres system fungerer.

Spectre, der co-underviser i et MIT Independent Activities Period kursus grundlagt af Koppel, der er fokuseret på reverse engineering software, brocherede ideen om reverse engineering Voatz's applikation, i et forsøg på bedre at forstå, hvordan dets system fungerede. For at sikre, at de ikke forstyrrede igangværende valg eller afslørede brugerrekorder, Spectre og Koppel reverse-manipulerede applikationen og oprettede derefter en model af Voatz's server.

De fandt ud af, at en modstander med fjernadgang til enheden kan ændre eller opdage en brugers stemme, og at serveren, hvis hacket, kunne let ændre disse stemmer. "Det ser ikke ud til, at appens protokol forsøger at verificere [ægte stemmer] med back-end blockchain, "Forklarer Spectre.

"Måske mest alarmerende, vi fandt ud af, at en passiv netværksmodstander, ligesom din internetudbyder eller en i nærheden af ​​dig, hvis du er på ukrypteret Wi-Fi, kunne opdage, hvilken måde du stemte på i nogle konfigurationer af valget. Værre, mere aggressive angribere kan potentielt opdage, hvilken vej du vil stemme og derefter stoppe forbindelsen ud fra det alene. "

Ud over at opdage sårbarheder med Voatzs afstemningsproces, Specter og Koppel fandt ud af, at appen udgør fortrolige problemer for brugerne. Da appen bruger en ekstern leverandør til verificering af vælger -id, en tredjepart potentielt kunne få adgang til en vælgers billede, kørekortdata, eller andre former for identifikation, hvis leverandørens platform ikke også er sikker.

"Selvom Voatzs fortrolighedspolitik taler om at sende nogle oplysninger til tredjeparter, så vidt vi kan fortælle, at enhver tredjepart får vælgerens kørekort og selfie ikke eksplicit er nævnt, "Spøgelsesnoter.

Opfordrer til øget åbenhed

Spectre og Koppel siger, at deres resultater peger på behovet for åbenhed, når det kommer til valgadministration, for at sikre valgprocessens integritet. I øjeblikket, de bemærker, valgprocessen i stater, der bruger papirafstemninger er designet til at være gennemsigtig, og borgere og politiske partirepræsentanter får mulighed for at observere afstemningsprocessen.

I modsætning, Koppel bemærker, "Voatzs app og infrastruktur var fuldstændig lukket kilde; vi kunne kun få adgang til selve appen.

"Jeg synes, at denne type analyse er ekstremt vigtig. Lige nu, der er en drivkraft for at gøre afstemningen mere tilgængelig, ved at bruge internet- og mobilbaserede stemmesystemer. Problemet her er, at nogle gange er disse systemer ikke lavet af mennesker, der har ekspertise i at holde afstemningssystemer sikre, og de er indsat, før de kan få en ordentlig gennemgang, "siger Matthew Green, en lektor ved Johns Hopkins Information Security Institute. I tilfælde af Voatz, tilføjer han, "Det ser ud til, at der var mange gode intentioner her, men resultatet mangler nøglefunktioner, der ville beskytte en vælger og beskytte valgets integritet. "

Fremadrettet, forskerne advarer om, at softwareudviklere skal bevise, at deres systemer er lige så sikre som papirstemmer.

"Det største problem er gennemsigtighed, "siger Spectre." Når du har en del af valget, der er uigennemsigtigt, der ikke kan ses, that is not public, that has some sort of proprietary component, that part of the system is inherently suspect and needs to be put under a lot of scrutiny."

Denne historie er genudgivet med tilladelse fra MIT News (web.mit.edu/newsoffice/), et populært websted, der dækker nyheder om MIT -forskning, innovation og undervisning.