MIT最新研究显示：美国中期选举的投票软件可篡

　　近日，麻省理工学院的研究人员在 2018 年西弗吉尼亚州中期选举使用的移动投票应用程序 Voatz 中发现了安全漏洞。黑客可以通过远程访问更改、停止用户的投票。此外，研究人员还发现，Voatz 利用第三方供应商进行选民身份验证，给用户带来潜在的隐私问题。

　　Voatz 是一个总部位于美国的区块链移动投票平台，利用区块链来解决与选举基础设施有关的问题，确保投票过程安全并且可审计。Voatz 曾在 2018 年西弗吉尼亚州的选举，以及丹佛市、俄勒冈州和州的选举中使用。通过区块链技术可以让当地选民以安全可靠的方式远程参与选举，补全缺席投票的遗憾。

　　近年来，人们越来越关注使用互联和移动技术来增加对投票过程的访问。但计算机安全专家却说，纸票是唯一安全的投票手段。

　　根据美国，美国选举每四年举行一次，选举每两年举行一次。其中一次选举与四年一度的选举同时举行，而另一次则在任期之间举行。在任期之间举行的选举，就是“中期选举”。

　　2018年11月6日，美国中期选举投票结果陆续出炉，两党各自欢呼「重大胜利」。党时隔8年之后重夺多数党地位，而党则巩固了多数党地位。

　　这项研究是在麻省理工学院计算机科学与人工智能实验室（CSAIL）的首席研究科学家，互联政策研究计划的创始主任·韦茨纳（Daniel Weitzner）的指导下进行的；主要包括麻省理工学院电气工程与计算机科学系（EECS）的研究生 Michael Specter 和麻省理工学院的互联政策研究计划的，以及 EECS 研究生的 James Koppel 。

　　他们通过对名为 Voatz 的应用程序的安全性分析发现，该程序的漏洞能够让者任意、停止或公开用户的投票行为。此外，研究人员发现，Voatz 利用第三方供应商进行选民身份验证，给用户带来潜在的隐私问题。

　　鉴于对选举安全问题的性日益提高，并且由于担心潜在的报复行为，研究人员通知了国土（DHS），并通过其络安全和基础设施安全局（CISA）匿名协调披露。

　　在公开宣布该研究之前，研究人员已收到供应商对漏洞的确认，尽管相关机构对问题的严重性存有争议，但似乎了边信道漏洞和PIN码问题的存在。 研究人员还直接与受影响的选举官员进行了交谈，以减少损害任何选举程序的可能性。

　　研究人员表示，这些发现强调了投票系统设计中需要透明性。「我们都对增加投票机会感兴趣，但是为了保持人们对选举系统的信任，我们必须确保投票系统在投入使用之前就符合高技术和操作安全标准。」Weitzner 说。

　　「安全专家的共识是，今天不可能通过互联进行安全的选举。」Koppel 补充说。「理由是，大型链中任何地方的弱点都可能带来对选举的不当影响，而今天的软件很不稳定，存在很大的风险。」

　　Voatz 是一个总部位于美国的区块链移动投票平台。作为一个移动投票平台，Voatz 公司将区块链技术与生物技术相结合，确保投票过程安全并且可审计。2018 年 Voatz 宣布获得了一笔 220 万美元的种子轮融资。

　　此前，西弗吉尼亚州是首个通过 Voatz 平台在联邦选举中提供区块链移动投票的州。除了在 2018 年西弗吉尼亚州的选举中使用外，该应用程序还部署在丹佛、俄勒冈州和州的选举中，以及在 2016 年州大会和 2016 年州党大会上使用。在 2020 年的爱荷华州预选赛中未使用 Voatz。

　　2019 年 5 月，美国丹佛市计划在市政选举中使用区块链系统记录和选票。丹佛市宣布将与 Tusk Philanthropies 和 Voatz合作，实施一项试点计划，允许海外选民、现役军人及其合格家属使用基于区块链的智能手机应用程序投票。

　　美国国家络安全中心（NCC）也参与了该试点项目。NCC CEO Vance Brown 表示，「基于区块链的选举应用提供了安全、可审核、透明和准确的点票服务，有助于提高整个选举流程的完整度。」他补充说，如果这种技术被证明是有效的，可能将在美国普遍使用。

　　2019 年 12 月 10 日，以移动为重点的投票和参与平台 Voatz 宣布参加美国人口普查局的技术演示日。这也意味着 Voatz 将以数字 方式进行人口普查。

　　Voatz 是 Redfin 和 Visa 等公司的 15 个创新项目之一，旨在通过创造性地吸引难以计数的人群，弥合数字鸿沟并帮助推动 2020 年人口普查来支持即将到来的人口普查。

　　该项目是机构，技术公司和非组织之间名为「机会项目」的合作工作的一部分，该合作项目将数据转换为解决实际问题的用户友好型工具。

　　Voatz 演示了美国人口普查局如何从最近的移动投票试验中学习，以增加普查输入的可访问性，同时还增强身份和数据安全性。

　　尽管 Voatz 没有对其安全模式进行公开的正式描述，但该公司声称，选举安全和完整性得到了技术保障，比如区块链、生物识别、mix 、硬件支持秘钥存储等。然而研究人员却发现 Voatz 缺乏能够选民和选举完整性的关键特征。

　　为了更好理解系统如何运行，三位研究人员针对系统的 Voatz 应用进行逆向工程。为了确保它们不会干扰即将举行的选举或公开用户文件，他们创建了 Voatz 服务器的模型。

　　研究人员使用了两台智能手机，一台是运行系统 9 的 Pixel 2 XL，支持 Voatz 系统；另一台是不支持投票应用程序小米 4i。

　　为了将控制重定向到研究人员的服务器，他们对应用程序的控制流做一些小更改，并将这些修改控制在了最低限度范围内。

　　研究过程中，研究人员虽然观察到 Voatz 采用了一系列技术手段，比如第三方病毒扫描服务，并使用加密的数据库以本地存储的数据。

　　针对络传输的者，能截获投票者设备和API服务器之间的所有络活动，但对投票者和Voatz的系统没有关键资料或其他访问权限。

　　可以不同程度地访问投票络流程的各个部分，分别对客户端、服务器以及络对手进行实验，研究发现 Voatz 缺乏能够选民和选举完整性的关键特征。

　　首先，可以远程访问该设备的对手可以更改或发现用户的投票，如果服务器被，可以轻松更改这些投票。应用程序协议似乎并未尝试通过区块链来验证真实投票。

　　「我们发现，您的 ISP 或附近的人（如果您未加密）的 Wi-Fi ，可以您在某些选举配置中的投票方式。最具性的恶意软件可能会检测到您将如何投票，然后仅凭此就可以停止连接。」研究人员表示。

　　当应用程序使用外部提供商进行选民 ID 验证时，如果提供商的平台不安全，则第三方可能会访问选民的照片，驾驶执照数据或其他形式的身份证明。

　　论文发表后，不少学者表示这种分析非常重要，特别是在当下——为了让投票更容易，人们开始努力借助在线和移动投票系统。核心问题在于，有时系统并不是由那些具备投票系统安全性经验的人创建的。

　　这份研究至少软件开发人员需要证明他们的系统像纸一样安全，易言之，这类系统最大的问题正是透明度。

　　当选举的一部分是不透明的，不可见的，不公开的并且具有某种专有元素时，该系统的相应部分就应该被质疑和。