比特币通信协议 - 币圈消息

比特币通信协议篇11、二、TURN简介。在典型的情况下,TURN客户端连接到内网中,并且通过一个或者多个NAT到 详细

根据MIT的研究,区块链投票系统Voatz存在哪些漏洞 - 币圈消息

[复制链接]
21 0
wangjia 发表于 2022-11-3 10:58:35 | 只看该作者 |阅读模式 打印 上一主题 下一主题
麻省理工学院工程师团队的最新研究发现,在名为Voatz的区块链投票系统中存在一系列令人震惊的漏洞。对Voatz的Android应用程序进行反向工程后,研究人员得出结论称,通过入侵选民手机,攻击者几乎可以随意观察、压制和更改选票。该论文称,网络攻击还可能揭示给定用户在哪里投票,并可能在此过程中压制投票。


研究人员说,最令人不安的是,破坏了管理Voatz API的服务器的攻击者甚至可以在投票到来时更改选票,这在理论上应该可以防止分布式分类账的威胁。
研究人员得出结论称:“鉴于本文所讨论的失败的严重性,缺乏透明度,选民隐私的风险以及攻击的琐碎性质,我们建议放弃将这个应用程序用于高风险选举的任何近期计划。”
Voatz的基于区块链的投票项目旨在替代缺席选票,安全研究人员对此表示怀疑,但许多科技界人士表示了浓厚兴趣,其获得了超过900万美元的风险投资。在Voatz系统下,用户将通过应用程序远程投票,并通过手机的面部识别系统验证身份。
Voatz已经在美国的一些次要选举中使用,在2018年西弗吉尼亚选举中收集了150多张选票。
Voatz 在博客文章中对MIT的发现提出了质疑,称该研究方法存在“错误”。该公司的主要抱怨是,研究人员正在测试Voatz客户端软件的过时版本,并且没有尝试连接到Voatz服务器本身。博客文章写道:“这种有缺陷的方法使关于其破坏整个系统能力的任何主张无效。”
Voatz的高管在与记者的电话中辩称,服务器端保护将阻止受感染的设备通过身份验证进入更广泛的系统。Voatz首席执行官Nimit Sawhney说道:“他们的所有主张都基于这样的想法,因为他们能够破坏设备,因此能够破坏服务器。而这个假设是完全错误的。”
Voatz还强调了允许选民和选举官员事后核实选票的措施。该公司产品负责人Hilary Braseth说道:“使用Voatz提交的每张选票都会产生纸质选票,使用Voatz的每位选民一旦提交,都会收到一张选票。”
到目前为止,这些解释并没有使安全专家印象深刻。约翰·霍普金斯密码学家Matthew Green在Twitter上指出:“设备只是将票发送到服务器。服务器可能会将它们放在区块链上,但是如果设备或服务器受到威胁,这将无济于事。Voatz需要解释他们如何处理这个问题。”
Voatz还在博文中指出了其正在进行的漏洞赏金计划和定期的代码审查,以证明该应用程序具有强大的安全性-但有些研究人员可能不同意。去年10月,该公司因FBI转介事件而备受抨击,消息人士告诉CNN该事件起源于密歇根大学的选举安全课程。其他人则批评了Voatz的赏金计划对研究人员来说是繁重且敌对的,这可能解释了为什么麻省理工学院的研究人员没有参加其中。
总体而言,这仍然不是第一次提出有关Voatz或区块链投票的安全问题。11月,参议员Ron Wyden(D-OR)写信给五角大楼,提出对Voatz安全性的担忧,并要求对该应用程序进行全面审核。该请求最终被推迟。Wyden在一份声明中说道:“网络安全专家已经明确表明,互联网投票是不安全的。现在距离共和党人结束选举安全禁令和让国会通过整个选举系统的强制性安全标准已经过去了很长时间。”
极客公园 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:根据MIT的研究,区块链投票系统Voatz存在哪些漏洞
喜欢 (0)

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
收藏
收藏0
转播
转播
分享
分享
分享
淘帖0
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

关注0

粉丝0

帖子2930859

发布主题
阅读排行更多+

Powered by 顺水鱼MT4外汇EA网! X3.2© 2001-2017 顺水MT4外汇EA公司.( 陕ICP备17014341号-1