近日，麻省理工学院的研究人员在 2018 年西弗吉尼亚州中期选举使用的移动投票应用程序 Voatz 中发现了安全漏洞。黑客可以通过远程访问更改、停止用户的投票。此外，研究人员还发现，Voatz 利用第三方供应商进行选民身份验证，给用户带来潜在的隐私问题。

Voatz 是一个总部位于美国波士顿的区块链移动投票平台，利用区块链来解决与选举基础设施有关的问题，确保投票过程安全并且可审计。Voatz 曾在 2018 年西弗吉尼亚州的选举，以及丹佛市、俄勒冈州和犹他州的选举中使用。通过区块链技术可以让当地选民以安全可靠的方式远程参与选举，补全缺席投票的遗憾。

而这份研究报告提出的漏洞，不得不让我们重新审视选民结果的真实性、透明性。

近年来，人们越来越关注使用互联网和移动技术来增加对投票过程的访问。但计算机安全专家却警告说，纸票是唯一安全的投票手段。

现在，麻省理工学院的研究人员针对投票环节提出新的担忧，在论文《The Ballot is Busted Before the Blockchain:A Security Analysis of Voatz, the First Internet Voting Application Used in U.S. Federal Elections》，研究人员发现了 2018 年西弗吉尼亚州中期选举使用的移动投票应用程序中的安全漏洞。

根据美国宪法，美国总统选举每四年举行一次，国会选举每两年举行一次。其中一次国会选举与四年一度的总统选举同时举行，而另一次则在总统任期之间举行。在总统任期之间举行的国会选举，就是“中期选举”。

2018年11月6日，美国中期选举国会参众两院投票结果陆续出炉，两党各自欢呼「重大胜利」。民主党时隔8年之后重夺众议院多数党地位，而共和党则巩固了参议院多数党地位。

这项研究是在麻省理工学院计算机科学与人工智能实验室（CSAIL）的首席研究科学家，互联网政策研究计划的创始主任丹尼尔·韦茨纳（Daniel Weitzner）的指导下进行的；主要作者包括麻省理工学院电气工程与计算机科学系（EECS）的研究生 Michael Specter 和麻省理工学院的互联网政策研究计划的成员，以及 EECS 研究生的 James Koppel 。

他们通过对名为 Voatz 的应用程序的安全性分析发现，该程序的漏洞能够让攻击者任意篡改、停止或公开用户的投票行为。此外，研究人员发现，Voatz 利用第三方供应商进行选民身份验证，给用户带来潜在的隐私问题。

鉴于对选举安全问题的敏感性日益提高，并且由于担心潜在的报复行为，研究人员通知了国土安全部（DHS），并通过其网络安全和基础设施安全局（CISA）匿名协调披露。

在公开宣布该研究之前，研究人员已收到供应商对漏洞的确认，尽管相关机构对问题的严重性存有争议，但似乎证实了边信道漏洞和PIN码问题的存在。 研究人员还直接与受影响的选举官员进行了交谈，以减少损害任何选举程序的可能性。

研究人员表示，这些发现强调了投票系统设计中需要透明性。「我们都对增加投票机会感兴趣，但是为了保持人们对选举系统的信任，我们必须确保投票系统在投入使用之前就符合高技术和操作安全标准。」Weitzner 说。

「安全专家的共识是，今天不可能通过互联网进行安全的选举。」Koppel 补充说。「理由是，大型链中任何地方的弱点都可能带来对选举的不当影响，而今天的软件很不稳定，存在很大的风险。」

1 Voatz什么来头

Voatz 是一个总部位于美国波士顿的区块链移动投票平台。作为一个移动投票平台，Voatz 公司将区块链技术与生物技术相结合，确保投票过程安全并且可审计。2018 年 Voatz 宣布获得了一笔 220 万美元的种子轮融资。

2019 年 10 月 18 日，非营利性组织 Tusk Philanthropies 宣布与美国俄勒冈州的 Jackson 和 Umatilla 县建立伙伴关系，以试点移动选举投票平台 Voatz。

该试点项目通过区块链和面部识别技术，为符合条件的选民提供使用智能手机投票的机会。

此前，西弗吉尼亚州是首个通过 Voatz 平台在联邦选举中提供区块链移动投票的州。除了在 2018 年西弗吉尼亚州的选举中使用外，该应用程序还部署在丹佛、俄勒冈州和犹他州的选举中，以及在 2016 年马萨诸塞州民主大会和 2016 年犹他州共和党大会上使用。在 2020 年的爱荷华州预选赛中未使用 Voatz。

2019 年 5 月，美国丹佛市计划在市政选举中使用区块链系统记录和跟踪选票。丹佛市宣布将与 Tusk Philanthropies 和 Voatz合作，实施一项试点计划，允许海外选民、现役军人及其合格家属使用基于区块链的智能手机应用程序投票。

美国国家网络安全中心（NCC）也参与了该试点项目。NCC CEO Vance Brown 表示，「基于区块链的选举应用提供了安全、可审核、透明和准确的点票服务，有助于提高整个选举流程的完整度。」他补充说，如果这种技术被证明是有效的，可能将在美国普遍使用。

除了应用于移动选举，Voatz 还用于人口普查。

2019 年 12 月 10 日，以移动为重点的投票和公民参与平台 Voatz 宣布参加美国人口普查局的技术演示日。这也意味着 Voatz 将以数字 方式进行人口普查。

Voatz 是 Redfin 和 Visa 等公司的 15 个创新项目之一，旨在通过创造性地吸引难以计数的人群，弥合数字鸿沟并帮助推动 2020 年人口普查来支持即将到来的人口普查。

该项目是政府机构，技术公司和非政府组织之间名为「机会项目」的合作工作的一部分，该合作项目将开放数据转换为解决实际问题的用户友好型工具。

Voatz 演示了美国人口普查局如何从最近的移动投票试验中学习，以增加普查输入的可访问性，同时还增强身份和数据安全性。

2 研究显示：易受多重攻击

尽管 Voatz 没有对其安全模式进行公开的正式描述，但该公司声称，选举安全和完整性得到了技术保障，比如区块链、生物识别、mixnet 、硬件支持秘钥存储等。然而研究人员却发现 Voatz 缺乏能够保护选民和选举完整性的关键特征。

研究显示， Voatz 容易受到多种攻击可能影响选举公正性

为了更好理解系统如何运行，三位研究人员针对安卓系统的 Voatz 应用进行逆向工程。为了确保它们不会干扰即将举行的选举或公开用户文件，他们创建了 Voatz 服务器的模型。

研究对象系基于安卓 9 的最新版本，研究内容包括注册登记、选民识别以及投票等互动环节。

研究人员使用了两台智能手机，一台是运行安卓系统 9 的 Pixel 2 XL，支持 Voatz 系统；另一台是不支持投票应用程序小米 4i。

为了将控制重定向到研究人员的服务器，他们对应用程序的控制流做一些小更改，并将这些修改控制在了最低限度范围内。

从设备上看到的 Voatz 的工作流程

Voatz 组件和外部设备之间的数据流，虚线部分表示确实存在但不可直接观察到。

研究人员在服务器上重现用户注册的全过程

从实验环境看到的投票者注册验证环节

在模拟选举过程中，可以通过后台看到投票的全过程

研究过程中，研究人员虽然观察到 Voatz 采用了一系列技术手段，比如第三方病毒扫描服务，并使用加密的数据库以保护本地存储的敏感数据。

但更为重要的是，研究人员通过扮演三类攻击者：

获得用户设备控制权的攻击者；

已控制Voatz的API服务器的攻击者；

针对网络传输的攻击者，能截获投票者设备和API服务器之间的所有网络活动，但对投票者和Voatz的系统没有关键资料或其他访问权限。

可以不同程度地访问投票网络流程的各个部分，分别对客户端、服务器以及网络对手进行攻击实验，研究发现 Voatz 缺乏能够保护选民和选举完整性的关键特征。

首先，可以远程访问该设备的对手可以更改或发现用户的投票，如果服务器被篡改，可以轻松更改这些投票。应用程序协议似乎并未尝试通过区块链来验证真实投票。

「我们发现，您的 ISP 或附近的人（如果您未加密）的 Wi-Fi ，可以跟踪您在某些选举配置中的投票方式。最具攻击性的恶意软件可能会检测到您将如何投票，然后仅凭此就可以停止连接。」研究人员表示。

其次，研究人员还发现该应用程序对用户的隐私构成了问题。

当应用程序使用外部提供商进行选民 ID 验证时，如果提供商的平台不安全，则第三方可能会访问选民的照片，驾驶执照数据或其他形式的身份证明。

外部合作伙伴使用 Voatz 来识别和验证选民对用户构成了潜在的隐私问题。

论文发表后，不少学者表示这种分析非常重要，特别是在当下——为了让投票更容易，人们开始努力借助在线和移动投票系统。核心问题在于，有时系统并不是由那些具备维护投票系统安全性经验的人创建的。

这份研究至少警告软件开发人员需要证明他们的系统像纸一样安全，易言之，这类系统最大的问题正是透明度。

当选举的一部分是不透明的，不可见的，不公开的并且具有某种专有元素时，该系统的相应部分就应该被质疑和检视。

一些安全专家甚至认为，今天不可能进行安全可靠的在线选举。