Команда исследователей из MIT заявила, что приложение для голосования на блокчейне Voatz имеет серьезные недостатки в области безопасности. Разработчики приложения отрицают выводы исследователей.
Приложение Voatz использовалось властями США в 2019 году во время выборов в Юте, Западной Вирджинии, Денвере и Орегоне. Однако команда исследователей Массачусетского технологического института (MIT) рекомендует, чтобы приложение не использовалось на выборах первостепенной важности.
Аспиранты Майкл Спектер (Michael Specter) и Джеймс Коппел (James Koppel), а также директор MIT Internet Policy Research Initiative Дэниел Вайцнер (Daniel Weitzner) обнаружили в приложении серьезные недостатки в области безопасности. Как заявляют авторы исследования, после реверсивного проектирования Voatz для проверки безопасности было обнаружено, что приложение на Android уязвимо для атак, которые могут повлиять на честность выборов.
В частности, злоумышленник, который получает доступ к смартфону избирателя, может легко взломать приложение, узнать о сделанном выборе и изменить его. Спектер также сообщил, что приложение имеет проблемы с конфиденциальностью, поскольку оно полагается на подтверждение удостоверения личности избирателей третьей стороной. В случае взлома платформы, может быть получен доступ к данным водительских прав избирателей.
«Возможно, наиболее опасным является то, что злоумышленник в пассивной сети, например, ваш интернет-провайдер или кто-то рядом с вами (если вы используете незашифрованный Wi-Fi) может определить, каким образом вы голосовали в некоторых конфигурациях выборов», – добавил Спектер.
Разработчики Voatz сделали заявление после публикации исследования, в котором утверждают, что исследователи из Массачусетского технологического института использовали более старую версию приложения, которая на момент публикации результатов проверки уже была обновлена 27 раз, и что эта версия никогда не использовалась на выборах.
Voatz заявляет, что потратила почти пять лет на создание устойчивой системы маркировки бюллетеней и использует инструменты из других отраслей для решения проблем, связанных с безопасностью, доступностью, идентификацией и проверяемостью. Кроме того, не было никаких сообщений о проблемах ни на одном из голосований, проведенных с использованием приложения.
Компания также подчеркивает, что такой подход исследователей, отсутствие доказательств в поддержку их заявлений и попытки сохранить анонимность – все это уловка, которая может нарушить избирательный процесс и даже подорвать безопасность избирательной инфраструктуры страны.
Напомним, что в октябре неизвестный хакер безуспешно попытался взломать систему блокчейн-голосования штата Западная Вирджиния. Мобильное приложение, разработанное блокчейн-стартапом Voatz, было нацелено на предоставление возможности голосования на выборах военнослужащим, проходящим службу за пределами штата, а также их семьям.