La aplicación de votación por Online de Voatz es insegura


La aplicación de votación por World wide web de Voatz es insegura

Este documento describe los defectos en la aplicación de votación por World-wide-web de Voatz: «La balota se revienta antes de Blockchain: un análisis de seguridad de Voatz, la primera aplicación de votación por Web utilizada en las elecciones federales de EE. UU.«.

Resumen: En las elecciones de mitad de período de 2018, Virginia Occidental se convirtió en el primer estado de los EE. UU. En permitir que los votantes seleccionados emitan su voto en un teléfono móvil a través de una aplicación patentada llamada «Voatz». Aunque no hay una descripción pública official del modelo de seguridad de Voatz, la compañía afirma que la seguridad e integridad de las elecciones se mantienen mediante el uso de una cadena de bloques autorizada, biometría, una red mixta y módulos de almacenamiento de claves respaldados por components en el dispositivo del usuario. En este trabajo, presentamos el primer análisis de seguridad pública de Voatz, basado en una ingeniería inversa de su aplicación de Android y la documentación mínima disponible del sistema. Realizamos una reimplementación de sala limpia del servidor de Voatz y presentamos un análisis del proceso de elección como obvious desde la propia aplicación.

Descubrimos que Voatz tiene vulnerabilidades que permiten que diferentes tipos de adversarios alteren, detengan o expongan el voto de un usuario, incluido un ataque de canal lateral en el que un adversario de purple completamente pasivo puede recuperar potencialmente la votación secreta de un usuario. Además, encontramos que Voatz tiene una serie de problemas de privacidad derivados del uso de servicios de terceros para la funcionalidad critical de la aplicación. Nuestros hallazgos sirven como una ilustración concreta de la sabiduría común contra el voto por Web y de la importancia de la transparencia para la legitimidad de las elecciones.

Noticias artículos.

los empresa respuesta es una ilustración perfecta de por qué las compañías que no son de seguridad no informáticas no tienen plan de lo que están haciendo y no se les debe confiar ninguna forma de seguridad.

Publicado el 17 de febrero de 2020 a las 6:35 a.m.

3 comentarios



Enlace a la noticia authentic