På senare år har Det har funnits ett växande intresse för att använda internet och mobilteknik för att öka tillgången till röstningsprocessen. På samma gång, datasäkerhetsexperter varnar för att pappersröstsedlar är det enda säkra sättet att rösta.

Nu, MIT-forskare tar upp en annan oro:De säger att de har upptäckt säkerhetsbrister i en mobil röstningsapplikation som användes under mellanårsvalet 2018 i West Virginia. Deras säkerhetsanalys av applikationen, kallas Voatz, pekar på ett antal svagheter, inklusive möjligheten för hackare att ändra, sluta, eller avslöja hur en enskild användare har röstat. Dessutom, forskarna fann att Voatz användning av en tredjepartsleverantör för väljaridentifiering och verifiering utgör potentiella integritetsproblem för användarna.

Fynden beskrivs i ett nytt tekniskt dokument av Michael Specter, en doktorand vid MIT:s avdelning för elektroteknik och datavetenskap (EECS) och medlem av MIT:s Internet Policy Research Initiative, och James Koppel, också doktorand i EECS. Forskningen utfördes under ledning av Daniel Weitzner, en huvudsaklig forskare vid MIT:s datavetenskap och artificiell intelligens Lab (CSAIL) och grundare av Internet Policy Research Initiative.

Efter att ha upptäckt dessa säkerhetsbrister, forskarna avslöjade sina resultat till Department of Homeland Securitys Cybersecurity and Infrastructure Agency (CISA). Forskarna, tillsammans med Boston University/MIT Technology Law Clinic, arbetade i nära samordning med valsäkerhetstjänstemän inom CISA för att säkerställa att påverkade valtjänstemän och säljaren var medvetna om resultaten innan forskningen offentliggjordes. Detta inkluderade att förbereda skriftliga sammanfattningar av resultaten med proof-of-concept-kod, och direkta diskussioner med berörda valtjänstemän om utlysningar arrangerade av CISA.

Förutom dess användning i valet i West Virginia 2018, appen användes vid val i Denver, Oregon, och Utah, samt vid 2016 Massachusetts demokratiska konvent och 2016 Utahs republikanska konvent. Voatz användes inte under valmötena i Iowa 2020.

Resultaten understryker behovet av transparens i utformningen av röstningssystem, enligt forskarna.

"Vi har alla ett intresse av att öka tillgången till valsedeln, men för att behålla förtroendet för vårt valsystem, vi måste försäkra oss om att röstsystem uppfyller de höga tekniska och driftsmässiga säkerhetsstandarderna innan de sätts i fält, " säger Weitzner. "Vi kan inte experimentera med vår demokrati."

"Säkerhetsexperternas konsensus är att det inte är möjligt att genomföra ett säkert val över internet idag, ", tillägger Koppel. "Resonemangen är att svagheter var som helst i en stor kedja kan ge en motståndare otillbörligt inflytande över ett val, och dagens mjukvara är tillräckligt skakig för att förekomsten av okända exploateringsbara brister är en för stor risk att ta."

Bryter ner resultaten

Forskarna inspirerades till en början att utföra en säkerhetsanalys av Voatz baserat på Specters forskning med Ronald Rivest, Institutet professor vid MIT; Neha Narula, chef för MIT Digital Currency Initiative; och Sunoo Park SM '15, Ph.D. '18, undersöka möjligheten att använda blockchain-system i val. Enligt forskarna, Voatz påstår sig använda en tillåten blockchain för att säkerställa säkerheten, men har inte släppt någon källkod eller offentlig dokumentation för hur deras system fungerar.

Spöke, som är medlärare i en MIT Independent Activities Period-kurs grundad av Koppel som är fokuserad på omvänd ingenjörsmjukvara, väckte idén om omvänd ingenjörskonst av Voatz applikation, i ett försök att bättre förstå hur dess system fungerade. För att säkerställa att de inte störde några pågående val eller avslöjade användarregister, Spectre och Koppel omvandlade applikationen och skapade sedan en modell av Voatz server.

De upptäckte att en motståndare med fjärråtkomst till enheten kan ändra eller upptäcka en användares röst, och att servern, om hackad, skulle lätt kunna ändra dessa röster. "Det verkar inte som om appens protokoll försöker verifiera [äkta röster] med back-end blockchain, " förklarar Spectre.

"Kanske mest oroväckande, vi upptäckte att en passiv nätverksmotståndare, som din internetleverantör, eller någon i närheten av dig om du använder okrypterat Wi-Fi, kunde upptäcka på vilket sätt du röstade i vissa konfigurationer av valet. Värre, mer aggressiva angripare kan potentiellt upptäcka på vilket sätt du kommer att rösta och sedan stoppa anslutningen baserat på det bara."

Förutom att upptäcka sårbarheter med Voatz röstningsprocess, Spectre och Koppel fann att appen innebär integritetsproblem för användarna. Eftersom appen använder en extern leverantör för verifiering av väljar-ID, en tredje part kan potentiellt komma åt en väljares foto, körkortsdata, eller andra former av identifiering, om den leverantörens plattform inte också är säker.

"Även om Voatz integritetspolicy talar om att skicka viss information till tredje part, så vitt vi kan se det faktum att någon tredje part får väljarens körkort och selfie nämns inte uttryckligen, " Spectre noterar.

Efterlyser ökad öppenhet

Spectre och Koppel säger att deras resultat pekar på behovet av öppenhet när det gäller valadministration, för att säkerställa integriteten i valprocessen. För närvarande, de noterar, valprocessen i stater som använder pappersröstsedlar är utformad för att vara transparent, och medborgare och företrädare för politiska partier ges möjligheter att observera röstningsprocessen.

I kontrast, Koppel noterar, "Voatz app och infrastruktur var helt sluten källkod, vi kunde bara få tillgång till själva appen.

"Jag tror att den här typen av analys är extremt viktig. Just nu, det finns en strävan att göra röstningen mer tillgänglig, genom att använda internet och mobilbaserade röstsystem. Problemet här är att ibland görs inte dessa system av människor som har expertis i att hålla röstsystem säkra, och de är utplacerade innan de kan få ordentlig granskning, säger Matthew Green, en docent vid Johns Hopkins Information Security Institute. När det gäller Voatz, han lägger till, "Det verkar som att det fanns många goda avsikter här, but the result lacks key features that would protect a voter and protect the integrity of elections."

Går framåt, the researchers caution that software developers should prove their systems are as secure as paper ballots.

"The biggest issue is transparency, " says Specter. "When you have part of the election that is opaque, that is not viewable, that is not public, that has some sort of proprietary component, that part of the system is inherently suspect and needs to be put under a lot of scrutiny."

Den här historien återpubliceras med tillstånd av MIT News (web.mit.edu/newsoffice/), en populär webbplats som täcker nyheter om MIT-forskning, innovation och undervisning.