MIT发现美国选举大漏洞：投票软件可被黑客修改结果，选民隐私也会被暴露

关注前沿科技 量子位

郭一璞 发自 云凹非寺

量子位 报道 | 公众号 QbitAI

一款美国选举用的投票软件，被发现了惊天漏洞，引发全美上下高度关注，几乎所有媒体都在报道。

这款软件名叫Voatz，用在2018年西弗吉尼亚州的中期选举上，另外丹佛、俄勒冈州和犹他州的选举，选民们也用的是这款软件。

此外2016年马萨诸塞州民主党代表大会和同年犹他州共和党代表大会上上，投票也是用的Voatz。

而MIT CSAIL的研究人员发现，这款软件不仅会泄露投票内容，甚至会操纵选民账户，投给其他人。

监视、中断、修改投票

MIT的研究人员用逆向工程的方式创建了Voatz软件的服务器模型，之后远程访问服务器，发现一切都看的清清楚楚，想操纵选举的黑客可以借助这个不安全的软件实现三件事：

1、看到用户具体投给了哪位候选人；

2、甚至可以中断用户的投票过程；

3、修改用户的投票，让这些被控制的用户成为利益相关者的“水军”，投给他们想要的候选人。

因此，一旦有人在互联网提供商或未加密的WiFi上做手脚，用户的软件就会中招，而投票结果，可能就是被操纵的。

开发Voatz的软件公司说，为了保证安全性，他们用上了区块链、生物识别、基于硬件的网络飞地（enclaves）和Mixnets。

虽然提到了区块链，但研究人员说，Voatz没有公布任何关于这个区块链如何运行的信息，也没有公开任何源代码或文档。

甚至，除了投票漏洞，这款投票软件还有隐私问题。软件中的ID验证问题是从外部供应商接入的，因此，一旦外部供应商出现问题，用户的照片和驾照等身份数据就会泄露。

发现漏洞之后，MIT的研究人员迅速通告了美国国土安全部的网络安全和基础设施局（CISA），并和相关候选人沟通善后。

这样看来，借助互联网做选举这样重要的事情，目前还无法保证完全安全。

作者建议此类软件开源

这项发现的三位作者，均来自MIT CSAIL。

一作和二作都是在读博士生。一作Mike Specter，研究系统安全、密码学和公共策略的交集，也是谷歌的研究员，在Android安全和隐私团队工作。

二作James Koppel，目前在CSAIL下面的计算机辅助编程团队，一路从CMU本科读到MIT硕士再到博士，曾获无数奖金，还开了两家公司，也曾是一名ACM-ICPC总决赛选手。

对于这项关于投票软件的研究，Koppel建议，像Voatz这样的选举投票软件，其代码和架构应该是开源的，这样才能保证选举的高度透明性。

三作是MIT CSAIL首席科学家、互联网政策研究项目主任Daniel Weitzner，他在MIT教互联网公共政策等课程，是互联网政策领域影响力巨大的专家。奥巴马当政时期，他也曾在白宫担任美国副CTO，这个职位也是总统幕僚之一。

传送门

如果想了解研究细节，欢迎查看三位研究者的论文：

The Ballot is Busted Before the Blockchain: A Security Analysis of Voatz, the First Internet Voting Application Used in U.S. Federal Elections

https://internetpolicy.mit.edu/wp-content/uploads/2020/02/SecurityAnalysisOfVoatz_Public.pdf

— 完 —

3期图像处理系列课程开始报名了~

2.27第一期课程，来自NVIDIA开发者社区的何琨老师，将带领大家学习如何利用NVIDIA迁移式学习工具包实现实时目标检测。

欢迎大家扫下图二维码报名，记得备注“英伟达”哦~

直播报名 | 图像与视频处理系列课程

新年福利 | 关注AI发展新动态

内参新升级！拓展优质人脉，获取最新AI资讯&论文教程，欢迎加入AI内参社群一起学习~

量子位 QbitAI · 头条号签约作者

վ'ᴗ' ի 追踪AI技术和产品新动态

喜欢就点「在看」吧 !

原标题：《MIT发现美国选举大漏洞：投票软件可被黑客修改结果，选民隐私也会被暴露》

阅读原文