报告称糟糕的安全设计破坏了OmniBallot在线投票系统
根据麻省理工学院和密歇根大学的计算机科学家周日发表的一篇研究论文,一种名为OmniBallot的在线选票传递和投票服务在几个层面上存在安全漏洞。《纽约时报》首次报道的这篇论文称,软件制造商Democracy Live让选票容易被操纵,收集敏感的选民信息,并且在选票在互联网上传播时无法控制标记的选票。因此,该文件总结道该公司无法证实中途是否被操纵。
调查结果不包括具体的软件漏洞,而是得出结论,交付选票和接收回票的过程可能太容易被操纵。一个漏洞来源来自于该软件对第三方软件和服务的依赖,包括亚马逊、谷歌和Cloudflare等公司的软件和服务,而Democracy Live并不控制这些软件和服务。
“我们发现,OmniBallot使用了一种简单化的互联网投票方式,很容易被选民设备上的恶意软件以及内部人员或其他攻击者操纵投票,这些攻击者可以入侵Democracy Live、亚马逊、谷歌或Cloudflare,”研究人员在论文中说。
此外,研究人员并没有找到隐私政策,解释Democracy Live如何保护用户的身份、选票和可以在线识别用户身份的技术数据。
针对该报告,Democracy Live告诉CNET,其计划在其投票门户上提供隐私政策,供选民查看。Democracy Live还将在其系统未来的所有部署中提供投票验证工具。该公司还表示,虽然研究人员表示,不应该让选民选择以电子方式返回已标记的选票,但大多数州都要求像Democracy Live这样的供应商提供这一选项。该公司表示,OmniBallot电子退票系统比使用电子邮件附件或传真系统退票更安全,这些都是选民获得的其他选择。
最后,Democracy Live强调,其技术是为残障人士设计的,对他们来说,持有、阅读和标记纸质邮寄选票可能不是一个选择。“没有任何技术是‘防弹的’,”Democracy Live首席执行官Bryan Finney告诉《纽约时报》。“但我们需要能够让被剥夺权利的人获得选举权。”
这项研究凸显了围绕网络投票的问题,网络安全专家和美国国土安全部表示,网络投票存在着被黑客攻击和操纵的高风险。该研究结果也是在对邮寄投票以及处理选举的最佳方式,同时最大限度地减少COVID-19的传播进行激烈辩论的时候出现的。
最近美国有三个州表示将使用OmniBallot。研究人员能够在7个州和另外11个州内的98个较小的地方找到投票服务的网址,其中包括华盛顿州的一个县级保护区,此前有报道称他们使用了在线投票系统来提高选民投票率。
研究人员发现,OmniBallot在选民的网络浏览器上工作。选民验证身份后,会收到一份PDF格式的选票。根据他们的位置,选民可以打印空白选票,以电子方式标记选票,然后打印出来传真或邮寄,或者标记选票,然后在线提交。