麻省理工学院计算机科学研究人员周四发布的一篇论文称,Voatz手机投票应用程序存在重大漏洞。研究人员发现,天辰游戏这款应用程序的设计缺陷可能会让老练的黑客了解选民的身份或IP地址,获取选票,在某些情况下,还可能改变选票。
据《纽约时报》(New York Times)周四早些时候报道,这款主要用于军方和海外选民的应用是市场上唯一的投票应用。麻省理工学院论文中提到的弱点在于安装在选民手机上的应用程序。
研究人员迈克尔·a·斯佩克特(Michael a . Specter)、詹姆斯·科佩尔(James Koppel)和丹尼尔·韦茨纳(Daniel Weitzner)在他们的论文中写道:“民族国家行为者完全有能力进行剥削。”沃茨对这些发现提出了质疑。
这项研究正值选举安全专家呼吁在所有选举中使用纸质选票之际。Voatz应用程序已被用于帮助海外和军事选民在西弗吉尼亚州以及丹佛市、科罗拉多州和犹他州等地投票。在以往的选举中,海外选民必须放弃无记名投票的权利,然后打印出纸质选票,扫描后通过电子邮件寄给选举官员。
沃茨在长篇回应中说,研究人员的信息不完整。Voatz说,他们使用的是应用程序的旧版本,他们无法看到阻止投票过程被成功利用的后台保护。该公司还批评了研究人员的方法,称他们在研究结果公布之前没有通知Voatz。
Voatz说:“简而言之,在没有任何证据或与服务器连接的情况下,对后端服务器做出断言,会使研究人员失去任何程度的可信度。”该公司指责研究人员试图在选举的安全中激起怀疑和不确定性。
正如ZDNet所指出的,Voatz此前曾向FBI报告过其后端系统的活动,天辰游戏平台该活动是由密歇根大学的一名学生研究员发起的。但该公司表示,它与安全专家合作,后者可以访问更多的代码并提供有价值的反馈。
该公司表示:“Voatz已经工作了近5年,开发了一种有弹性的投票标记系统,该系统用于应对意料之外的威胁,并在短时间内向全世界发布更新。”
研究中发现的漏洞在于网络协议,该协议负责向应用程序传输信息,以及保护投票的区块链技术。研究人员发现,有root权限访问投票人手机的攻击者也有可能看到并可能更改选票,即使这些选票已经发送。