报告称，在美国大选中使用的Voatz“区块链”应用存在许多安全问题

总部位于马萨诸塞州的沃茨（Vaatz）吹捧一个支持区块链的移动投票应用程序，但由于缺乏透明度，尤其是在数据安全性方面，遭到公众批评。由于存在选举被篡改的威胁，因此风险与以往一样高。

Voatz已在西弗吉尼亚州的选举中使用；俄勒冈州杰克逊县；俄勒冈州Umatilla县；犹他州犹他县的市政选举；以及科罗拉多州丹佛市的径流选举和市政选举。

专家一直在呼吁由知名的第三方公司进行的公共安全审计在这里。 2019年12月，为Voatz大部分移动投票飞行员提供资金的Voatz和Tusk Philanthropies与安全公司Trail of Bits进行了全面的白盒审计。

尽管Voatz无法提供后端以进行实时测试恶意攻击媒介，但Trail of Bits可以访问所有源代码，包括核心服务器，Android客户端，iOS客户端和管理员Web界面。

审计报告是全面的，包括一份122页的安全性审查和一份78页的有关威胁建模注意事项的文档。这是主要部分的简要介绍。

Voatz不需要区块链

区块链投票的吸引力在于，它是一种去中心化的系统，不需要选民信任任何人。但是Voatz使用的区块链实际上并没有扩展到移动客户端。相反，Voatz一直将票数应用到Hyperledger Fabric区块链上，将其用作审核日志-就像使用带有审核日志的数据库一样容易。查看的代码尾迹未使用自定义链码或智能合约。实际上，该报告显示：

“所有数据验证和业务逻辑都是在Voatz Core Server的Scala代码库中脱链执行的。几项高风险的发现是数据验证问题和核心服务器中代表混乱的结果，这可能使一个选民在甚至不接触区块链的情况下也可以假扮成另一个选民。”

因为选民本身并不直接连接到区块链，所以他们无法独立地验证选票是否反映了他们的意图。但是，具有对Voatz后端服务器的管理访问权限的任何人都可以“取消匿名投票，拒绝投票，更改投票并使审计跟踪无效”。

报告发现，Voatz系统没有任何缓解措施，无法根据选民在区块链中记录的投票时间对选民进行匿名化。尽管Voatz的FAQ声称“一旦提交，所有信息都将被匿名化，通过’mixnet’路由并发布到区块链上”，但在MIT报告中却受到质疑-在这次审核中再次受到质疑。

审计读到：“在提供给比特之路的代码中似乎没有，也没有提及混合网。” “核心服务器具有对所有流量（包括选票）进行匿名处理的能力。”

比特之路证实了麻省理工学院的发现-沃茨对此表示质疑

2月13日，麻省理工学院的研究人员发表了上述报告，“投票在区块链之前被破坏：对Voatz的安全性分析，这是美国联邦选举中使用的第一个互联网投票应用程序”，Voatz在当天的博客中对此做出了回应。驳斥它所谓的“有缺陷的报告”，导致MIT研究人员发布了一个常见问题解答，并进行了澄清。

事实证明，Voatz的反驳是在Trail of Bits向美国国土安全部确认匿名提交有关问题的摘要报告后三天，即向MIT证实存在上述漏洞后写的。这表明Voatz在公开将该报告视为公开之前已经意识到该报告是准确的。

审计还对沃茨对麻省理工学院研究人员报告的一些异议提出异议。 Voatz表示，分析的Android应用程序已有27个版本，但Trail of Bits写道，在麻省理工学院研究人员使用的2019年9月版本的应用程序之间，它“未发现代码库中与安全相关的任何更改”，这将对他们的主张产生重大影响。

Voatz还对研究人员开发模拟服务器表示质疑，称其为“有缺陷的方法”，“使关于其破坏整个系统能力的任何主张无效”。 Voatz甚至写道，这种做法“代表研究人员否认了任何程度的可信度。”

但是，Trail of Bits声称“在连接到生产服务器可能会导致法律诉讼的情况下开发模拟服务器是漏洞研究的标准做法。这也是软件测试中的标准做法。”此外，该报告指出，调查结果主要针对Android客户端，但并不依赖于对Voatz服务器的深入了解。

先前的审核并不全面

尽管Voatz宣称进行了多次安全审核，但这还是第一次对白名单进行评估，并且对核心服务器和后端进行了分析。尽管并非所有先前的审核都是公开的，但《足迹追踪》总结了所有这些审核。

NCCC在2019年8月进行了一次先前的安全审查，NCCC是一家未雇用任何技术安全专家的独立私人非营利组织。审核的重点是可用性，而不是安全性。 2018年7月，一家不愿透露姓名的供应商对Voatz的移动客户端进行了黑盒审计。

2018年10月，现在称为ShiftState的TLDR Security进行了广泛的安全卫生评估，其中包括系统架构，用户和数据工作流以及缓解威胁的计划，但并未在系统或实际应用程序中查找错误。 ShiftState随后在2018年12月进行了另一次审核，以检查系统是否按预期运行并遵循最佳实践。

尽管ShiftState首席执行官安德烈·麦格雷戈（Andre McGregor）之前曾说过Voatz“做得很好”，但Bits Bits对ShiftState审核的审查指出了日志有限，服务器不受管理以及Zimperium反移动恶意软件解决方案（试点期间未启用）的问题。

由于Voatz的所有针对移动设备的防篡改保护都是基于Zimperium的，因此它处于非活动状态意味着该应用程序可能遭到了微不足道的篡改，因为Voatz缺乏针对可访问敏感信息的恶意应用程序的额外保护。

美国国土安全部（DHS）于2019年10月进行的最终审核仅考虑了云资源，而不是应用程序，即是否有黑客入侵的证据，或者是否可以检测到黑客入侵。

Voatz在不公开之前就吹捧过的先前安全评估的局限性之外（例如，审计中没有包含服务器和后端漏洞的事实），Bits Bits的报告指出，进行的其他安全评估中的内容均为技术文档。这使民选官员是否会根据他们不具备阅读资格的文件做出决定。

Voatz看起来杂乱无章

比特之路的评估比最初的计划持续了整整一周的时间，“这归因于接收代码和资产的延迟，系统意外的复杂性和规模以及相关的报告工作。”

Trail of Bits从未收到过代码的工作副本，这禁止该公司进行实时测试，这意味着研究人员几乎完全限于静态测试，这要求他们阅读大量代码。根据该报告，Voatz有太多的代码，以至于“每天平均需要评估35个文件中的每位工程师平均分析近3,000条纯代码行，以实现最小的覆盖范围。”

尽管在评估结束前一天，Trail of Bits可以访问后端进行实时测试，但仍被要求不要以拒绝提供并发审核服务的方式来攻击或更改实例。

沃茨（Voatz）犯了新秀错误-似乎并不认真对待修复程序

《线索》（Trail of Bits）描述了一些错误，这些错误可能导致投票被观察，篡改或去匿名化，或者可能使选举的完整性受到质疑。

除了选民无法独立验证其选票收据是否有效或正确计算选票这一事实外，Voatz员工理论上还可以迫使用户投票两次，允许他们投票两次或在不了解后端的情况下重复投票。此外，Voatz使用八位PIN加密所有本地数据-可能在15分钟之内破解。

此外，该报告还发现该应用没有安全控制措施，可以防止无人值守的Android设备受到威胁。敏感的API凭据存储在git存储库中，这意味着公司中任何有权访问代码的人（甚至是分包商）都可以使用或滥用存储库中公开的密钥。

具有管理员权限的Voatz员工可以查询特定选民的选票。 Voatz使用临时加密握手协议，通常不建议这样做-因为自制加密技术容易出现错误，因此最好使用经过研究人员研究并在现实世界中经过测试的加密方案。并非以完全安全的方式配置SSL（安全套接字层），但缺少一项关键功能，可帮助客户确定何时撤销TLS（传输层安全性）证书。

有一次，Voatz甚至从Stack Overflow答案中剪切并粘贴了密钥和初始化向量。即使在大学级别的计算机安全课程中，也通常不鼓励剪切和粘贴代码，因为Stack Overflow上的信息质量各不相同，甚至好的代码在特定环境中也可能不起作用。但是，剪切和粘贴密钥和IV甚至更糟，因为这意味着用于加密数据的密钥和IV与Internet上的内容相同，即使它不应该公开。

即使是摘要，Trail of Bits的建议也长达八页。 Voatz似乎已经解决了8个安全风险，部分解决了另外6个安全风险，还有34个未解决。通常，公司会制定有关如何解决中高风险的全面计划。令人震惊的是，沃茨决定“接受”许多此类漏洞的风险，实质上是代表选民接受风险，而不是从其聘请的公司提出修复建议。

Cointelegraph已向Voatz提出了一系列问题，一旦公司做出回应，这篇文章将进行更新。 Tusk慈善事业和Bit of Bits都将Cointelegraph推荐给他们有关审核的独立博客文章以及报告本身。

—-

原文链接：https://cointelegraph.com/news/voatz-blockchain-app-used-in-us-elections-has-numerous-security-issues-says-report

原文作者：Cointelegraph By Yael Grauer

编译者/作者：wanbizu AI

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。