MIT: додаток для голосування на блокчейне Voatz має уразливості

Команда дослідників з MIT заявила, що додаток для голосування на блокчейне Voatz має серйозні недоліки у сфері безпеки. Розробники програми заперечують висновки дослідників.

Додаток Voatz використовувалося владою США в 2019 році під час виборів в Юті, Західній Вірджинії, Денвері і Орегоні. Однак команда дослідників Массачусетського технологічного інституту (MIT) рекомендує, щоб програма не використовувалося на виборах першорядної важливості.

Аспіранти Майкл Спектер (Michael Specter) і Джеймс Коппел (James Koppel), а також директор MIT Internet Policy Research Initiative Деніел Вайцнер (Daniel Weitzner) виявили в додатку серйозні недоліки в галузі безпеки. Як заявляють автори дослідження, після реверсивного проектування Voatz для перевірки безпеки було виявлено, що додаток на Android вразливе для атак, які можуть вплинути на чесність виборів.

Зокрема, зловмисник, який отримує доступ до смартфону виборця, може легко зламати додаток, дізнатися про зроблений вибір і змінити його. Спектер також повідомив, що програма має проблеми з конфіденційністю, оскільки воно покладається на підтвердження посвідчення особи виборців третьою стороною. У разі злому платформи, може бути отриманий доступ до даних водійських прав виборців.

«Можливо, найбільш небезпечним є те, що зловмисник у пасивної мережі, наприклад, ваш інтернет-провайдер або хтось поруч з вами (якщо ви використовуєте незашифрований Wi-Fi) може визначити, яким чином ви голосували в деяких конфігураціях виборів», – додав Спектер.

Розробники Voatz зробили заяву після публікації дослідження, в якому стверджують, що дослідники з Массачусетського технологічного інституту використовували більш стару версію програми, яка на момент публікації результатів перевірки вже була оновлена 27 разів, і що ця версія ніколи не використовувалася на виборах.

Voatz заявляє, що витратила майже п’ять років на створення стійкої системи маркування бюлетенів і використовує інструменти з інших галузей для вирішення проблем, пов’язаних з безпечністю, доступністю, ідентифікацією та проверяемостью. Крім того, не було жодних повідомлень про проблеми ні на одному з голосувань, проведених з використанням програми.

Компанія також наголошує, що такий підхід дослідників, відсутність доказів на підтримку їх заяв і спроби зберегти анонімність – все це хитрість, яка може порушити виборчий процес і навіть підірвати безпеку виборчої інфраструктури країни.

Нагадаємо, що в жовтні невідомий хакер безуспішно спробував зламати систему блокчейн-голосування штату Західна Вірджинія. Мобільний додаток, розроблене блокчейн-стартапом Voatz, було націлено на надання можливості голосування на виборах військовослужбовцям, які проходять службу за межами штату, а також їх сім’ям.