Эксперты считают, что блокчейн-приложение для голосования потенциально уязвимо

Новое исследование, проведенное группой разработчиков, выявило ряд уязвимых мест в ведущей системе голосования, основанной блокчейне, под названием Voatz.

После анализа Android-приложения Voatz исследователи пришли к выводу, что злоумышленник, взломавший телефон избирателя, сможет наблюдать за ходом голосования и изменять голоса по своему желанию. Сетевые атаки могут также выявить, где голосовал тот или иной пользователь, и потенциально могут изменить процент проголосовавших.

Больше всего беспокоит то, что исследователи утверждают, что злоумышленник, взломавший серверы, управляющий API Voatz, может даже изменять данные в бюллетенях по мере их поступления, что является той самой угрозой, от которой теоретически должна защищать распределенная бухгалтерская книга.

«Учитывая серьезность ошибок, отсутствие прозрачности, риски для конфиденциальности избирателей и тривиальный характер атак, мы предлагаем отказаться от любых ближайших планов использования этого приложения для выборов», – указали исследователи.

Разработанный в качестве замены для обычных бюллетеней, проект дял голосования Voatz, основанный на блокчейне, был встречен скептицизмом со стороны исследователей в области безопасности, но с энтузиазмом со стороны многих из блокчейн-сообщества, получив более 9 миллионов долларов венчурного финансирования. При использовании системы Voatz пользователи могли дистанционно отбирать бюллетени с помощью приложения, при этом удостоверения личности проверялись с помощью систем распознавания лиц телефона.

Приложение уже использовалось на нескольких мелких выборах в США, в частности, на выборах 2018 года в Западной Вирджинии. Voatz уже оспорил выводы экспертов в своем блоге, назвав методы исследования «ошибочными». Основная претензия компании заключается в том, что исследователи тестировали устаревшую версию клиентского программного обеспечения Voatz и не пытались подключиться к самому новому серверу.

«Этот ошибочный подход лишает законной силы любые утверждения об способности нашего приложения скомпрометировать всю систему», – говорится в сообщении.

Voatz также выделил меры, позволяющие избирателям и избирательным органам проверять свои голоса после голосования.

«Каждый избирательный бюллетень, поданный с помощью Voatz, конвертируется в бумажный бюллетень», – говорит руководитель продукта, Хилари Брасет.

«И каждый избиратель, использующий Voatz, получает квитанцию об избирательном бюллетене, как только он её подает».

Но эксперты по безопасности всё равно не были впечатлены этими объяснениями.

«Устройство просто отправляет голоса на сервер», – заметил криптограф Мэтью Грин в Twitter.

«Сервер может поместить их в цепочку блоков, но это не поможет, если будет скомпрометировано устройство или сервер».

Стоит отметить, это не первый раз, когда возникают проблемы с безопасностью в отношении голосов Voatz или блокчейна в целом. В ноябре сенатор Рон Уайден (D-OR) написал письмо в Пентагон, выразив обеспокоенность по поводу безопасности Voatz, и попросить провести полную проверку приложения. В конечном итоге запрос был передан в Департамент внутренней безопасности.