غرب ویرجینیا و اورگان که هر دو به تازگی مستقر تلفن همراه رای گیری برنامه به نام Voatz به منظور تسهیل در رای گیری غایب. اما Voatz در حال حاضر تبدیل به عمده نقص های امنیتی به گفته محققان از موسسه تکنولوژی ماساچوست—از جمله آسیب پذیری است که می تواند اجازه دهید یک هکر با دستکاری در نتایج.

به تازگی کشف اشکالات می تواند اجازه حمله به فاش کسی رای بلوک آرا از را مشاهده کنید و یا حتی آنها را دستکاری کنند. این یافته برای اولین بار در گزارش نیویورک تایمزآمده است که ایالات متحده دست و پنجه نرم کردن با گسترده انتخابات و مسائل امنیتی و بحث که آیا تلفن همراه رای گیری می توانید با خیال راحت به گسترش دسترسی. کارشناسان امنیتی به مدت طولانی هشدار داد که آن را تقریبا غیر ممکن است برای تضمین امن تلفن همراه, رای گیری در حالی که Voatz و دیگر شرکت ها استدلال می کنند که فن آوری های مانند بیومتریک احراز هویت و blockchain را به فرایند امن. ظاهرا توجه داشته باشید کاملا هنوز.

“با توجه به شدت نقایص مورد بحث در این مقاله این عدم شفافیت خطرات به رای دهندگان حریم خصوصی و بی اهمیت ماهیت این حملات ما نشان می دهد که هر گونه نزدیکی-برنامه های آینده برای استفاده از این برنامه برای پر مخاطره انتخابات بود رها” نوشت: محققان MIT شبح مایکل جیمز Koppel و دانیل Weitzner.

گروه یافت انواع مختلف آسیب پذیری های بسته به اینکه در چه سطحی از دسترسی مهاجم به رای دهندگان و دستگاه, و یا به Voatz سرور و رابط کاربردی برنامه نویسی. اگر یک هکر موفق به دسترسی ریشه به گوشی های هوشمند خود را, آنها می توانند دور زدن Voatz دفاعی خود را برای گرفتن اطلاعات از جمله پین استفاده می کنید برای دسترسی Voatz سرور. آنها همچنین می تواند کنترل خود را, رای, بلوک آن از ارسال و یا ببینید که چگونه شما رای دادند. اگر یک مهاجم دسترسی به Voatz سیستم های آنها می تواند کشف اطلاعات به معنای قفل شده توسط این پلت فرم را blockchain طرح اجازه دادن به آنها برای تغییر رای و یا لینک رای به افراد خاص حتی اگر این سیستم قرار است به صورت ناشناس و تغییر ناپذیر است. محققان حتی ضعف در نحوه برنامه می فرستد رای به سرورهای این شرکت است که می تواند مورد سوء استفاده شود اگر یک کاربر رای دادند نا امن Wi-Fi و یا اتصال ارائه شده توسط غیرقابل اعتماد ارائه دهنده خدمات اینترنت.

حمله حالات محققان در نگاه نیاز هکرها در حال حاضر نصب شده موفق nontrivial حملات علیه دستگاه کاربر و یا Voatz سیستم های. اما انگیزه حمله را روشن علاقه به اجرای این نوع طرح پیچیده در برابر چیزی به عنوان مهم به عنوان یک رای گیری برنامه. سیستم های رای گیری باید ساخته شود به “فرض نقض” به عنوان کارشناسان امنیتی اغلب آن را قرار داده و انعطاف پذیر در برابر حملات شناخته شده. و تحقیق تأکید می کند که Voatz امنیتی است که در نهایت فقط به عنوان امن به عنوان پلت فرم که در آن اجرا می شود—است که به خصوص اطمینان بخش است.

در حالی که محققان MIT تولید شده برای اولین بار اساسی تجزیه و تحلیل Voatz امنیت دیگران قبلا مطرح شده سوال در مورد برنامه دفاعی و معماری است. یک انتقاد مشترک به سادگی است که در آن روش ها و سیستم های عدم شفافیت و آن را غیر ممکن است برای گفتن که آیا برنامه ارائه امنیت خود وعده داده است. در ماه نوامبر نامه ای به وزارت دفاع و آژانس امنیت ملی سناتور Ron Wyden اورگان در خواست آژانس برای انجام ممیزی از Voatz سیستم های. “در حالی که Voatz ادعا می کند به استخدام کارشناسان مستقل برای حسابرسی این شرکت در سرورهای خود و برنامه آن را هنوز به انتشار و یا انتشار نتایج این ممیزی و یا هر گونه دیگر cybersecurity ارزیابی” Wyden نوشت. “در واقع Voatz حتی نمی خواهد شناسایی آن حسابرسان. این سطح از پنهان کاری به سختی و الهام بخش اعتماد به نفس.”

این شرکت هنوز نشده منتشر شده هر یک از آن ممیزی اما در بیانیه ای گفت که محققان بر اساس کار خود را در یک نسخه قدیمی از Voatz برنامه اندروید است که “حداقل 27 نسخه های قدیمی در زمان افشای” و نه نماینده از آخرین نسخه استفاده شده در انتخابات. علاوه بر این برای برخی از کار محققان تا به حال برای شبیه سازی بخشهایی از Voatz زیرساخت است که آنها نمی تواند به طور مستقیم دسترسی داشته باشید. این شرکت می گوید این به معنی انجام یافته به دقت منعکس کننده زیرساخت های خود و در صورتی که محققان انجام داده بود کار خود را از طریق Voatz اشکال فضل برنامه اجرا شده توسط HackerOne آنها را به حال دسترسی به برنامه فعلی و حتی کد منبع برای تکمیل دقیق تر ارزیابی شده است.

“روشن است که از نظری ماهیت محققان رویکرد عدم وجود شواهد عملی حمایت خود را از ادعای خود تلاش عمدی برای ناشناس باقی می ماند قبل از انتشار و اولویت خود را به پیدا کردن توجه رسانه ها است که محققان درست هدف این است که به عمد اخلال در روند انتخابات به ایجاد شک و تردید در امنیت انتخابات ما زیرساخت ها و گسترش ترس و سردرگمی” این شرکت گفت: در آن بیانیه است.

محققان اختلاف بسیاری از این اظهارات ، آنها می گویند که آنها با ارزیابی این نسخه از Voatz برنامه بود که در دسترس در Google Play در اوایل ماه دسامبر و پس از آن شرکت انجام داده است و پنج نه 27 روز رسانی به برنامه با توجه به Google Play سیاهههای مربوط. آنها اضافه کنید که هیچ کدام از این پنج مجموعه از به روز رسانی ها شامل هر گونه نشانه ای از امنیت و یا معماری تغییرات که به طور بالقوه نفی یافته های خود را. و محققان می گویند که هر زمان که آنها مجبور شدند به فرضیات در مورد Voatz را در سیستم های خود را تجزیه و تحلیل آنها را به عنوان سخاوتمندانه به عنوان امکان پذیر است.

“ما به صراحت فرض کنیم در این مقاله بسیار خوش مدل از آنچه Voatz باطن می تواند انجام شود” شبح سرب پژوهشگر گفت: سیمی. “هر بار که ما احتمالا می تواند فرض کنیم که Voatz می تواند جلوگیری از چیزی است که ما فقط فرض است که آنها آن را انجام داد و آن را به طور کامل امن است. و حتی در آن بسیار شدید وضعیت ما قادر به نشان می دهد تعدادی از حملات.”

محققان خواسته وزارت امنیت داخلی امنیت سایبر و امنیت زیرساخت آژانس هماهنگ ناشناس افشای مراحل پیش از انتشار برای حفاظت در برابر اقدامات تلافی جویانه. Voatz فراموش نشدنی گزارش دانشگاه میشیگان و محقق به دفتر تحقیقات فدرال برای آنچه که تبدیل به امنیت و تحلیل برنامه است.

“هنگامی که محققان به تازگی تماس CISA به گزارش آسیب پذیری در تلفن همراه رای گیری فن آوری ما به سرعت این اطلاعات را با هر دو فروشنده و دولت های محلی و مقامات انتخاباتی که طرح به خلبان و یا استفاده از این تکنولوژی در سال 2020 چرخه انتخابات” یک CISA سخنگو در بیانیه ای گفت. “به طور بالقوه تحت تاثیر انتخابات ریاست جمهوری افغانستان قادر به صحبت با محققان و CISA به درک و مدیریت ریسک برای سیستم های خود را.”

محققان می گویند که در طی این فرایند Voatz به نظر می رسید برای تایید وجود حداقل دو نفر از آسیب پذیری و مسئول حمله حالات گذاشته شده در این مقاله است. Voatz بیانیه را ندارد هر گونه ویژگی های خاص ادعا و محققان تاکید می کند که پاسخ نمی در واقع اختلاف هر یک از یافته های خود را.

محقق امنیتی کوین Beaumont که پیدا کرده است و با اشاره به اشکالات در Voatz این سیستم در گذشته می گوید که این یافته ها از MIT نیست ، “Voatz شده است تلاش برای دفن محققان در NDAs به توقف یافته رفتن و گزارش یک نفر است که رفت و به اف بی آی” Beaumont می گوید. “انتخابات مسائل جدی. وجود دارد هیچ جایی برای عدم اطلاع و موافقت نامه غلط حسابرسی ادعا می کند در چیزی این هدف قرار دادند. آن را دشوار است به دانستن چگونه Voatz گرفتن امضا به درگیر در انتخابات زمانی که اعتبار خود را به نظر می رسد مشکوک در بهترین است.”

هر چند تحقیقات بیشتر به Voatz برنامه مورد نیاز است را به طور کامل درک واقعیت از پلت فرم دفاع MIT پژوهش صحبت می کند به نیاز مبرم به صورت شفاف auditable سیستم های رای گیری—یک نقطه محققان نیز قاطعانه در مورد ساخته شده موجود در شخص رای گیری ماشین آلات.

“من فکر می کنم این تحقیق را افزایش می دهد به اندازه کافی پرچم قرمز به چه بخواهید Voatz است که در واقع انجام برای محافظت از خود رای می گوید:” متی سبز جانز هاپکینز cryptographer که بازدید یافته پیش از انتشار. “مردم نباید به مهندسی معکوس یک برنامه برای پاسخ به این سوالات. دموکراسی نیاز به مقدار زیادی بیشتر شفافیت است.”

به روز شده در پنج شنبه مارس 13, 2020, 3:20pm ET شامل نظر از محققان MIT.


بزرگ تر سیمی داستان
  • این ragtag تیم ملی که ذخیره 38,000 بازی های فلش از اینترنت فراموشی
  • چگونه چهار هکرهای چینی گفته می شود در زمان پایین Equifax
  • کوچک سلول های مغز است که اتصال ما سلامت روانی و جسمانی
  • ونکوور می خواهد برای جلوگیری از سایر شهرستانها’ اشتباه با Uber و Lyft
  • وهم آور repopulation از منطقه ممنوعه فوکوشیما
  • 👁 تاریخچه راز از صورت به رسمیت شناختن. به علاوه آخرین اخبار در مورد هوش مصنوعی
  • ✨ خود را بهینه سازی صفحه اصلی زندگی ما با دنده تیم بهترین میدارد از ربات خلاء به قیمت مناسب تشک هوشمند بلندگو

tinyurlis.gdv.gdv.htu.nuclck.ruulvis.netshrtco.dehec.sutny.im

نرم افزار گرامرلی