美国国会图书馆

研究人员称美国 5 个州使用的网络投票技术存在致命缺陷

  • 浏览次数 49618
  • 喜欢 0
  • 评分 12345

OmniBallot是美国几十个司法管辖区都在使用的选举软件。除了递送选票和帮助选民标记选票外,它还包括一个在线投票的选项。至少有三个州,西弗吉尼亚州、特拉华州和新泽西州已经或计划在即将举行的选举中使用该技术。俄勒冈州和华盛顿州的四个地方司法管辖区也使用在线投票功能。但麻省理工学院的迈克尔-斯佩克特和密歇根大学的亚历克斯-哈尔德曼这对计算机科学家的新研究发现,该软件安全保护措施不足,对选举的完整性造成了严重的风险。

OmniBallot背后的公司Democracy Live在给Ars Technica的邮件回复中为其软件辩护。Democracy Live首席执行官Bryan Finney写道:”报告没有发现OmniBallot的任何技术漏洞”。从某种意义上来说,这是真的,研究人员并没有在OmniBallot代码中发现任何重大漏洞。但这也忽略了他们分析的重点。软件的安全性不仅取决于软件本身,还取决于系统运行环境的安全性。例如,如果投票软件运行在被恶意软件感染的电脑上,就不可能保证投票软件的安全。而在美国,有数百万台电脑被恶意软件感染。

1

这个问题现在特别紧迫,因为正在进行的COVID-19大流行迫使选举官员对选举程序作出重大改变。目前,大多数使用OmniBallot软件的司法管辖区都没有使用其 “电子选票传递 “功能。但启用该功能只需更改配置即可。选举官员有可能在远程投票更容易的压力下,决定在今年11月大选中启用该软件的在线投票功能。

Specter和Halderman取得了OmniBallot软件的副本,对其进行了逆向工程,然后创建了模仿真实服务器行为的新服务器软件。这使他们能够在不冒干扰真实选举的情况下对软件进行实验。他们发现,OmniBallot提供了一些不同的功能,州选举官员可以选择向选民提供。最基本的是空白选票交付功能,可向选民提供可打印出来并寄回投票站的PDF选票。各地也可提供选票标记功能,在选票打印出来之前,代选民标记。这可以让失明选民独立填写选票。它还可以防止多投,并警告选民没有投票。

但是Specter和Halderman认为这种能力会带来一些额外的风险。恶意软件可以被编程成在很短的时间内切换投票。理论上,选民应该在投递选票前检查选票是否正确,但研究表明,选民对此并不严格。霍尔德曼和其他人的一项研究发现,在一次现实的模拟选举中,只有6.6%的选民向选举监督人报告了投票的变化。

 

 

(稿源:cnBeta,封面源自网络。)