bt365手机平台-下载首页

在投票识别bt365手机app的研究人员的安全漏洞识别应用

难道手机投票应用使黑客改变单一票并可能对隐私问题的用户。


记者联系

艾比abaz要么ius
电子邮件: abbya@mit.edu
电话:617-253-2709
bt365手机app新闻办公室

媒体资源

1张图片下载

媒体访问

媒体只能从本网站的桌面版本下载。

近年来,出现了,一直在使用互联网和移动技术来增加获得投票过程越来越感兴趣。同时,计算机安全专家警告称,纸质投票是投票的唯一安全的方式。

现在,bt365手机app的研究都提出另一个问题:他们说,他们已经在移动投票应用覆盖的安全漏洞,使用期间在西弗吉尼亚州2018年中期选举。应用其安全分析,所谓voatz,精确定位存在一些缺陷,包括机会黑客修改,停止,或暴露个人如何用户投票。此外,研究人员发现,voatz的使用了选民身份查验和验证姿态为用户潜在的隐私问题,第三方供应商。

描述的是在一个新的发现 技术文件 由迈克尔·斯佩克特,一名研究生在电气工程和计算机科学(EECS)的bt365手机app的部门和成员MIT的 互联网政策研究计划和詹姆斯·科佩尔此外,在EECS研究生。这项研究是丹尼尔·韦茨纳,bt365手机app计算机科学和人工智能实验室(CSAIL)的主要科学家和政策研究倡议互联网的创始主任的指导下进行。

这些安全漏洞揭露后,研究人员透露了他们的研究结果,以国土安全部的网络安全和基础设施机构部(CISA)。研究人员说,随着波士顿大学/ MIT科技法律诊所,与安全负责选举的官员密切协调合作,确保中国钢铁工业协会在埋伏选举和供应商的官员们意识到研究是公开之前的调查结果。 ESTA包括编制结果举证的概念代码的书面总结,并直接讨论,由中国钢铁工业协会安排选举官员受影响通话。

此外在2018年ITS西弗吉尼亚州选举中使用的应用程序是在2016年民主党全国代表大会马萨诸塞州犹他州和2016年共和党大会部署在选举在丹佛,俄勒冈州和犹他州,以及。 voatz没有使用在2020年的爱荷华州党团会议。

这些发现强调了投票系统的设计透明度的需要,根据研究人员。

“我们都在增加获得选票的兴趣,但为了保持我们的选举制度的信任,我们必须保证投票系统达到较高的技术和操作安全性的标准,它们被放在前场,” Weitzner说。 “我们不能尝试在我们的民主。”     

“今天是运行在互联网上,以确保选举安全专家的共识是不可能的,补充说:”科佩尔。 “这是一个大的弱点链推理随时随地都可以给对手在选举中的不当影响,今天的软件是不稳定的,以至于不明利用的漏洞的存在是采取过大的风险。”

打破结果

研究人员最初灵感来执行基于斯佩克特的voatz的安全性分析 研究 罗纳德·维斯特,教授在bt365手机app; NEHA Narula,数字货币MIT项目总监;和Sunoo公园SM '15,'18博士,探讨在选举采用blockchain系统的可行性。据研究人员介绍,voatz权利使用许可管理blockchain确保安全,但还没有公布,供公众如何运作他们的系统任何源代码或文档。

幽灵,WHO共教bt365手机app 独立活动期间课程 这是成立由科佩尔专注于软件的逆向工程,开始讨论逆向工程voatz的应用程序的概念,以努力更好地了解系统是如何工作的。以确保它们没有干扰或暴露任何正在进行的选举用户记录,幽灵和科佩尔逆向工程的应用,创造了那么voatz的服务器的一个典范。

他们发现,对设备远程访问的攻击者可以改变或发现一个用户的投票,以及服务器,如果黑客攻击,可以很容易地改变那些票。 “它不会出现在应用程序的协议,试图验证【正品投票随着后端blockchain,”斯佩克特说。

“也许最令人不安的是,我们发现,无源网络的对手,像你的互联网服务提供商,或者附近有人你,如果你在未加密的Wi-Fi,你能发现它的方式在选举中的一些配置进行表决。更糟的是,更积极的攻击者可能会发现你的基于单独的连接去投票,然后停止该方式“。

除了检测漏洞利用voatz的投票过程中,斯佩克特和科佩尔发现的应用程序,为用户姿势隐私问题。作为应用程序中使用了选民身份验证外部供应商,选民第三方访问可能的照片,驾驶执照资料,或者其他形式的身份证明,如果供应商的平台是不是也是安全的。      

“虽然voatz的隐私政策不兼谈发送一些信息给第三方,据我们所知的事实,任何第三方是获得选民的驾驶执照,并自拍照中没有明确提及,”幽灵音符。

呼吁加强开放

斯佩克特和科佩尔说,他们的发现表明需要开放,当涉及到选举管理,以确保选举过程的完整性。目前,他们指出,在美国大选过程中使用被设计为透明,公民和政治代表是党的观察鉴于投票过程的机会纸制选票。

相比之下,科佩尔指出,“voatz的应用程序和基础设施完全是封闭源代码;我们只能够获得访问应用程序本身。     

“我觉得这种类型的分析是非常重要的。现在,有一个驱动器,使表决更容易,通过使用基于移动互联网和投票系统。这是在这里的那些系统有时不被人都有专长,保持系统安全的投票进行的问题,他们适当的审查,他们可以得到前正在部署,“马修•格林,在约翰霍普金斯学院的安全信息副教授说。在voatz的情况下,我补充说,“有它看起来像很多好心这里,但结果没有将保护,保护的完整性和选举的选民主要特点。”

展望未来,软件开发商研究者警告说如果证明自己的系统一样安全纸制选票。

“最大的问题是透明度,”斯佩克特说。 “当你有选举不透明的一部分,这是不可见的,这是不公开的,这有某种专有组件,系统的那部分本身就是犯罪嫌疑人,并下了很多审查的被投入的需求。”


主题: 网络安全, 表决和选举, 计算机科学与技术, 应用, 技术与社会, 互联网政策研究计划, 计算机科学和人工智能实验室(CSAIL), Electrical Engineering & Computer Science (eecs), 工程学院

回到顶部