专栏首页量子位MIT发现美国选举大漏洞:投票软件可被黑客修改结果,选民隐私也会被暴露

MIT发现美国选举大漏洞:投票软件可被黑客修改结果,选民隐私也会被暴露

郭一璞 发自 云凹非寺 量子位 报道 | 公众号 QbitAI

一款美国选举用的投票软件,被发现了惊天漏洞,引发全美上下高度关注,几乎所有媒体都在报道。

这款软件名叫Voatz,用在2018年西弗吉尼亚州的中期选举上,另外丹佛、俄勒冈州和犹他州的选举,选民们也用的是这款软件。

此外2016年马萨诸塞州民主党代表大会和同年犹他州共和党代表大会上上,投票也是用的Voatz。

而MIT CSAIL的研究人员发现,这款软件不仅会泄露投票内容,甚至会操纵选民账户,投给其他人。

监视、中断、修改投票

MIT的研究人员用逆向工程的方式创建了Voatz软件的服务器模型,之后远程访问服务器,发现一切都看的清清楚楚,想操纵选举的黑客可以借助这个不安全的软件实现三件事:

1、看到用户具体投给了哪位候选人;

2、甚至可以中断用户的投票过程;

3、修改用户的投票,让这些被控制的用户成为利益相关者的“水军”,投给他们想要的候选人。

因此,一旦有人在互联网提供商或未加密的WiFi上做手脚,用户的软件就会中招,而投票结果,可能就是被操纵的。

开发Voatz的软件公司说,为了保证安全性,他们用上了区块链、生物识别、基于硬件的网络飞地(enclaves)和Mixnets。

虽然提到了区块链,但研究人员说,Voatz没有公布任何关于这个区块链如何运行的信息,也没有公开任何源代码或文档。

甚至,除了投票漏洞,这款投票软件还有隐私问题。软件中的ID验证问题是从外部供应商接入的,因此,一旦外部供应商出现问题,用户的照片和驾照等身份数据就会泄露。

发现漏洞之后,MIT的研究人员迅速通告了美国国土安全部的网络安全和基础设施局(CISA),并和相关候选人沟通善后。

这样看来,借助互联网做选举这样重要的事情,目前还无法保证完全安全。

作者建议此类软件开源

这项发现的三位作者,均来自MIT CSAIL。

一作和二作都是在读博士生。一作Mike Specter,研究系统安全、密码学和公共策略的交集,也是谷歌的研究员,在Android安全和隐私团队工作。

二作James Koppel,目前在CSAIL下面的计算机辅助编程团队,一路从CMU本科读到MIT硕士再到博士,曾获无数奖金,还开了两家公司,也曾是一名ACM-ICPC总决赛选手。

对于这项关于投票软件的研究,Koppel建议,像Voatz这样的选举投票软件,其代码和架构应该是开源的,这样才能保证选举的高度透明性。

三作是MIT CSAIL首席科学家、互联网政策研究项目主任Daniel Weitzner,他在MIT教互联网公共政策等课程,是互联网政策领域影响力巨大的专家。奥巴马当政时期,他也曾在白宫担任美国副CTO,这个职位也是总统幕僚之一。

传送门

如果想了解研究细节,欢迎查看三位研究者的论文:

The Ballot is Busted Before the Blockchain: A Security Analysis of Voatz, the First Internet Voting Application Used in U.S. Federal Elections https://internetpolicy.mit.edu/wp-content/uploads/2020/02/SecurityAnalysisOfVoatz_Public.pdf

本文分享自微信公众号 - 量子位(QbitAI),作者:关注前沿科技

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-02-25

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 携程梁建章:人工智能不会带来失业危机,也不会取代人类进行创新

    问耕 发自 凹非寺 量子位 报道 | 公众号 QbitAI ? 上个周末,携程联合创始人、执行董事会主席梁建章出席在北大斯坦福中心举办的“CEO北京创业主题派对...

    量子位
  • 通过图灵测试!Google掌舵人说“打电话AI”是一次非凡突破

    今天凌晨,Google I/O 2018大会最后一日,前不久刚刚获得年度图灵奖的Alphabet新任董事长John Hennessy登上舞台。

    量子位
  • GitHub出现一个大型中文NLP资源,宣称要放出亿级语料库

    包含104万个词条的维基百科资源,包含250万篇新闻的新闻语料,以及包含150万个问答的百科类问答资源。

    量子位
  • 区块链如何能颠覆谷歌的广告经济

    最近关于大型科技公司对部分经济造成损害的争论,以及社会和民主的社会结构,都回到了大多数媒体机构建立的基础上。

    用户2965496
  • Neural Fictitious Self Play——从博弈论到深度强化学习

    用户1107453
  • 2991:2011

    2991:2011 查看 提交 统计 提问 总时间限制:1000ms内存限制:65536kB描述已知长度最大为200位的正整数n,请求出2011^n的后四位。输...

    attack
  • 川普就职演讲弱爆了?IBM沃森文本分析历任总统誓词后这样说

    大数据文摘
  • JavaScript入门笔记(6)标准对象面向对象编程

    标准对象 正则对象 正则表达式是一种处理文本信息的神器,在JavaScript中可以方便的使用正则对象对文本进行处理。JavaScript中声明正则对象可以使用...

    月见樽
  • 【Lua菜鸟①】初识Lua

    简介 Lua 是一种轻量小巧的脚本语言,用标准C语言编写并以源代码形式开放, 其设计目的是为了嵌入应用程序中,从而为应用程序提供灵活的扩展和定制功能。 特性 轻...

    Rare0716
  • 深入理解Struts2----类型转换

         之前的一系列文章主要介绍了有关Struts2的一些基本用法和部分的简单原理,但是始终没有介绍有关拦截器的相关内容,从本篇开始我们将从另一个角度去深入理...

    Single

扫码关注云+社区

领取腾讯云代金券