Investigadores del MIT identifican vulnerabilidades en app de voto
Investigadores del Instituto de Tecnología de Massachusetts (MIT), han encontrado vulnerabilidades en una aplicación de voto electrónico llamada "VOATZ". Esta es la aplicación utilizada en Virginia Occidental que permitió al personal militar extranjero votar en las elecciones de 2018 . Mountain State fue el primero en la nación en ofrecer esta opción de este tipo de voto.
Los hallazgos se describen en un documento técnico de Michael Specter [PDF], un estudiante graduado en el Departamento de Ingeniería Eléctrica y Ciencias de la Computación (EECS) del MIT y miembro de la Iniciativa de Investigación de Políticas de Internet del MIT, y James Koppel, también un estudiante graduado en EECS. La investigación se realizó bajo la dirección de Daniel Weitzner, investigador principal del Laboratorio de Ciencias de la Computación e Inteligencia Artificial (CSAIL) del MIT y director fundador de la Iniciativa de Investigación de Políticas de Internet.
Los investigadores dicen: "Encontramos que VOATZ tiene vulnerabilidades que permiten que diferentes tipos de adversarios alteren, detengan o expongan el voto de un usuario... y potencialmente puede recuperar la boleta secreta de mismo". El informe del MIT dice que los votos podrían cambiarse o incluso borrarse. El Secretario de Estado de West Virginia, Mac Warner, dijo que "Estoy seguro de que la aplicación es segura. En 2018 no hubo pirateo, cambios de votos ni nada de eso".
Las oficinas del Secretario de Estado y Voatz dicen que la investigación del MIT se centró en la primera edición del Voatz, que ahora se ha actualizado al menos 27 veces. Él dice que sería similar a decir que Windows 10 es vulnerable, a pesar de que las fallas de seguridad en las ediciones anteriores ya fueron corregidas. Un análisis de Voatz del Departamento de Seguridad Nacional de 2019, encontró múltiples áreas en las que la seguridad de la aplicación podría mejorarse, pero no hay evidencia de actividad maliciosa pasada.
El sitio web del Secretario de Estado tiene un documento de seguridad que cualquiera puede leer, un informe desclasificado de Seguridad Nacional que aborda las inquietudes sobre la votación y un mapa que muestra salvaguardas en el proceso en el camino. Aún así, Warner dice que es de mente abierta y está revisando el estudio del MIT. Esto se debe a que West Virginia no tiene que seguir con VOATZ y podría elegir otra aplicación de votación antes del 1 de marzo.
Los investigadores del MIT concluyeron que a través del ataque se puede tomar el control total del teléfono y de la aplicación VOATZ, diciendo una cita: "Un atacante que controla el dispositivo de un usuario también controla su voto".
La oficina del Secretario de Estadodijo que "Las personas que votan en Virginia Occidental reciben un papel que verifica lo que votaron, en caso de que se ordene una auditoría o recuento".
Fuente: MIT
Los hallazgos se describen en un documento técnico de Michael Specter [PDF], un estudiante graduado en el Departamento de Ingeniería Eléctrica y Ciencias de la Computación (EECS) del MIT y miembro de la Iniciativa de Investigación de Políticas de Internet del MIT, y James Koppel, también un estudiante graduado en EECS. La investigación se realizó bajo la dirección de Daniel Weitzner, investigador principal del Laboratorio de Ciencias de la Computación e Inteligencia Artificial (CSAIL) del MIT y director fundador de la Iniciativa de Investigación de Políticas de Internet.
Los investigadores dicen: "Encontramos que VOATZ tiene vulnerabilidades que permiten que diferentes tipos de adversarios alteren, detengan o expongan el voto de un usuario... y potencialmente puede recuperar la boleta secreta de mismo". El informe del MIT dice que los votos podrían cambiarse o incluso borrarse. El Secretario de Estado de West Virginia, Mac Warner, dijo que "Estoy seguro de que la aplicación es segura. En 2018 no hubo pirateo, cambios de votos ni nada de eso".
Las oficinas del Secretario de Estado y Voatz dicen que la investigación del MIT se centró en la primera edición del Voatz, que ahora se ha actualizado al menos 27 veces. Él dice que sería similar a decir que Windows 10 es vulnerable, a pesar de que las fallas de seguridad en las ediciones anteriores ya fueron corregidas. Un análisis de Voatz del Departamento de Seguridad Nacional de 2019, encontró múltiples áreas en las que la seguridad de la aplicación podría mejorarse, pero no hay evidencia de actividad maliciosa pasada.
El sitio web del Secretario de Estado tiene un documento de seguridad que cualquiera puede leer, un informe desclasificado de Seguridad Nacional que aborda las inquietudes sobre la votación y un mapa que muestra salvaguardas en el proceso en el camino. Aún así, Warner dice que es de mente abierta y está revisando el estudio del MIT. Esto se debe a que West Virginia no tiene que seguir con VOATZ y podría elegir otra aplicación de votación antes del 1 de marzo.
Los investigadores del MIT concluyeron que a través del ataque se puede tomar el control total del teléfono y de la aplicación VOATZ, diciendo una cita: "Un atacante que controla el dispositivo de un usuario también controla su voto".
La oficina del Secretario de Estadodijo que "Las personas que votan en Virginia Occidental reciben un papel que verifica lo que votaron, en caso de que se ordene una auditoría o recuento".
Fuente: MIT
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!