研究人員說,區塊鏈投票應用程式非常脆弱

麻省理工學院一個工程師團隊的最新研究發現,一個名為Voatz的領先區塊鏈投票系統中存在一系列令人震驚的漏洞。在對Voatz的Android應用程式進行反向工程後,研究人員得出結論,一個攻擊者如果洩露了一個投票人的手機,他幾乎可以隨意觀察、壓制和改變投票。該報聲稱,網路攻擊還可能揭示特定使用者投票的地點,並可能在投票過程中壓制投票。...

麻省理工學院一個工程師團隊的最新研究發現,一個名為Voatz的領先區塊鏈投票系統中存在一系列令人震驚的漏洞。在對Voatz的Android應用程式進行反向工程後,研究人員得出結論,一個攻擊者如果洩露了一個投票人的**,他幾乎可以隨意觀察、壓制和改變投票。該報聲稱,網路攻擊還可能揭示特定使用者投票的地點,並可能在投票過程中壓制投票。

007Ys3FFgy1gppppq8hrqj30sc0ixk93

最令人不安的是,研究人員說,如果攻擊者破壞了管理Voatz API的伺服器,甚至可能在選票到達時更改選票,這是一個令人擔憂的威脅,分散式賬本理論上應該防止這種威脅。

研究人員總結說:“鑑於本文討論的失敗的嚴重性、透明度的缺乏、選民隱私的風險以及攻擊的瑣碎性質,我們建議放棄近期任何使用該應用程式進行高風險選舉的計劃。”。

Voatz的基於區塊鏈的投票專案被設計為替代缺席投票,受到了安全研究人員的質疑,但科技界許多人的熱情,獲得了超過900萬美元的風險投資。在Voatz系統下,使用者將透過一個應用程式遠端投票,透過**的面部識別系統驗證身份。

Voatz已經在美國的一些小規模選舉中使用,在2018年西弗吉尼亞州大選中獲得150多張選票。

007Ys3FFgy1gpppprkfddj31cs0h278c

沃茨在部落格中反駁了麻省理工學院的研究結果,稱研究方法“錯誤”。該公司的主要抱怨是,研究人員測試的是一個過時版本的沃茨客戶端軟體,沒有試圖連線到沃茨伺服器本身。

部落格寫道:“這種有缺陷的方法使任何關於他們有能力破壞整個系統的說法無效。”。

在與記者的通話中,Voatz的高管們認為,伺服器端保護可以防止受損裝置向更廣泛的系統進行身份驗證。Voatz執行長尼米特•薩維尼(Nimit Sawhney)說:“他們所有的說法都是基於這樣一種想法,即因為他們能夠破壞裝置,就能夠破壞伺服器。”。“這種假設是完全錯誤的。”

邊緣與麻省理工學院的研究人員分享了這一批評,他們沒有立即做出迴應。

沃茨還強調採取措施,讓選民和選舉官員事後核實自己的選票。“使用Voatz提交的每一張選票都會產生一張紙質選票,”產品負責人希拉里·布拉塞思說,“使用Voatz的每一位選民在提交後都會收到一張選票收據。”

到目前為止,安全專家們對這些解釋並不滿意。約翰·霍普金斯大學密碼學家馬修·格林在推特上說:“這個裝置只是把選票傳送到伺服器上。”。“伺服器可能會將它們放在區塊鏈上,但如果裝置或伺服器受損,這也沒有幫助。沃茨需要解釋他們是如何處理這個問題的。”

在帖子中,Voatz還指出,它正在進行的bug賞金計劃和定期的程式碼審查是該應用程式強大安全性的證據,但一些研究人員可能並不同意。去年10月,該公司因因聯邦調查局(FBI)的一次轉介而遭到抨擊,有訊息稱,CNN的這起事件源於密歇根大學的一門選舉安全課程。其他人則批評沃茨的賞金計劃繁重,對研究人員懷有敵意,這或許可以解釋為什麼麻省理工學院的研究人員沒有參加。

不過,這並不是第一次對Voatz或區塊鏈投票提出安全擔憂。去年11月,參議員羅恩·懷登(D-OR)致信五角大樓,對沃茨的安全提出擔憂,並要求對該應用程式進行全面審計。這一請求最終被推遲到國土安全部。

針對麻省理工學院的報告,懷登提出了嚴厲的批評。他在一份宣告中說:“網路安全專家已經明確表示,網路投票是不安全的。”。“共和黨人結束選舉安全禁運,讓國會透過整個選舉制度的強制性安全標準,早已過去。”

  • 發表於 2021-04-20 04:29
  • 閱讀 ( 44 )
  • 分類:網際網路

你可能感興趣的文章

如何成為區塊鏈程式設計師並開始賺大錢

我們正處於區塊鏈技術的早期,如果你主動學習如何在區塊鏈上程式設計,你將在未來擁有一個非常有利可圖的職業。 ...

  • 發佈於 2021-03-24 01:15
  • 閲讀 ( 50 )

一種實驗性加密貨幣是如何丟失(並找到)5300萬美元的

...式碼的一部分,但它們對於DAO的日常操作至關重要。一些研究人員已經引起了人們對這個漏洞的關註,其中最著名的是比特幣基金會前主席彼得·韋斯森(Peter Vessence),但開發人員似乎沒有意識到一旦利用這個漏洞,它的破壞...

  • 發佈於 2021-05-05 11:18
  • 閲讀 ( 40 )

如何建立自己的加密貨幣

...兩者都是加密貨幣,但比特幣、Litecoin、Dogecoin在自己的區塊鏈上執行,而代幣則存在於以太坊等現有區塊鏈基礎設施之上。區塊鏈最簡單地說就是在網路上進行並由網路保護的交易記錄。因此,儘管硬幣有自己獨立的交易賬本...

  • 發佈於 2021-05-15 03:00
  • 閲讀 ( 46 )

與以太坊競爭的4個區塊鏈競爭者

以太坊的出現在一個仍然年輕的區塊鏈行業創造了一個新的範例,並將其重點從加密貨幣作為金融工具轉移到了更實用的目的。透過以太坊和類似區塊鏈上的智慧合約,涉及一些資料交易的流程可以實現自治,同時保持無可辯駁...

  • 發佈於 2021-06-09 07:47
  • 閲讀 ( 45 )

公有區塊鏈與私有區塊鏈:挑戰與差距

...際網路衝浪者獲得對自己資料的控制,甚至使用MATRYX增強研究人員之間的協作,公共區塊鏈都處於革命的前沿,因為它們的無許可設計允許任何人參與。 儘管如此,公共連鎖店並非沒有缺點。比特幣(bitcoin)和以太坊(Ether...

  • 發佈於 2021-06-10 02:54
  • 閲讀 ( 40 )

區塊鏈可以讓你不再是資料的所有者

近幾個月來,區塊鏈技術被騙子、騙子和喜劇演員拖進了泥潭。一個笑話加密貨幣吸引了大量的現金,一個盜賊政權宣佈了一個ICO,一家冰茶公司轉向比特幣開採(在所有這些炒作之後,加密貨幣價格的暴跌幾乎無助於解決問題...

  • 發佈於 2021-06-12 06:54
  • 閲讀 ( 44 )

超級分類賬資源管理器

...特定功能或元件的區塊鏈開發人員、尋求研究歷史發展的研究人員或負責管理區塊鏈的區塊鏈運營商實時需要的,或者由最高管理層。 下麵的動畫影象顯示了Hyperledger Explorer如何配置及其提供的內容的多個方面。

  • 發佈於 2021-06-12 10:52
  • 閲讀 ( 52 )
orts7004
orts7004

0 篇文章

作家榜

  1. admin 0 文章
  2. 孫小欽 0 文章
  3. JVhby0 0 文章
  4. fvpvzrr 0 文章
  5. 0sus8kksc 0 文章
  6. zsfn1903 0 文章
  7. w91395898 0 文章
  8. SuperQueen123 0 文章

相關推薦