Исследователи обнаружили лазейки в мобильной системе голосования США

«Дыры» в безопасности мобильной блокчейн-системы голосования Voatz Voting обнаружили инженеры Массачусетского технологического института (MIT), 14 февраля сообщает портал ThreatPost.

Инженеры скачали самую свежую версию Voatz Voting из Google Play, которая оказалась на тот момент версией от 1 января 2020 года, и обнаружили множество недостатков в системе безопасности, включая неработающие модули защиты Zimperium и отсутствие шифрования секретной информации.

«Мы обнаружили, что злоумышленник с root-доступом к устройству голосования может отключить всю защиту и, следовательно, скрыто контролировать волеизъявление пользователя, видеть, что он отметил в бюллетене голосования и перехватить PIN пользователя и другие данные для входа на сервер голосования», — заявили исследователи в своей статье «Анализ безопасности Voatz — первого интернет-приложения для федеральных выборов в США».

Также инженеры MIT обнаружили, что ни у избирателя, ни у третьей стороны нет возможности проверить был ли учтен поданный голос, поскольку система не предоставляет механизмов проверки. Учитывая споры о недавнем голосовании в штате Айова, исследователи пришли к мнению, что аудит системы голосования является критической частью системы, а у Voatz его просто нет.

В ответ разработчики Voatz назвали результаты команды MIT чисто теоретическими и потому бездоказательными, обвинив исследователей в самопиаре и желании помешать проведению избирательной кампании.