Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Kwetsbaarheden in Amerikaanse verkiezings-app maakten aanpassen stemmen mogelijk

De app Voatz, die meerdere Amerikaanse staten bij pilotprojecten voor stemmen via smartphones gebruikten, heeft meerdere kwetsbaarheden die aanpassen van stemmen mogelijk maken. Ook konden onderzoekers geen blockchainbeveiliging via de app vinden.

Onderzoekers van MIT kregen inzage in de werking van de Voatz-app, door deze uit de Play Store te downloaden en te reverse-engineeren. De app kwam in 2018 in het nieuws toen de Amerikaanse staat West Virginia deze bij tussentijdse verkiezingen gebruikte om militairen in het buitenland te laten stemmen. Sindsdien zijn er praktijktests geweest in Washington State, delen van Oregon, Utah en Denver.

De onderzoekers konden het verkiezingsproces analyseren vanuit het oogpunt van de app, door de servers van Voatz na te bootsen. Analyse van die serverinfrastructuur zelf was niet mogelijk. Voatz meldt regelmatig audits door onafhankelijke derde partijen te houden, maar die zijn niet openbaar. Voor komende releases wil Voatz HackerOne inschakelen.

De onderzoekers van MIT vonden alvast kwetsbaarheden waarmee aanvallers stemmen kunnen wijzigen, voorkomen of publiekelijk bekendmaken. Onder andere beschrijven ze een sidechannel-aanval waarmee een stem te achterhalen was door het netwerk waarover deze verstuurd werd te observeren. Een van de eigenschappen waarmee Voatz adverteert, is het gebruik van de blockchain. De onderzoekers konden echter geen aanwijzingen vinden dat de app data van een blockchain ontvangt of valideert: "We vonden geen referentie naar hashketens, transparantielogs of ander cryptografisch bewijs."

De verbinding is wat netwerkconnectiviteit betreft door een https-connectie beveiligd, zegt een van de onderzoekers tegen Motherboard. De app versleutelt uitgaande data wel, maar doet dat voordat de data de https-laag bereikt. Het gevolg is dat de grootte van de versleutelde pakketjes proportioneel blijft tot de grootte van de platte tekst, wat een beveiligingsrisico is.

De onderzoekers noemen de methode van Voatz zeer slordig en vinden dat hun onderzoek de risico's van internetstemmen aantoont. Voatz zelf claimt dat de onderzoekers niet de laatste versie van de app hebben gebruikt en dat ze niet kunnen weten hoe het werkt omdat ze de back-endservers voor de ontvangst van de stemmen niet onderzocht hebben.

Door Olaf van Miltenburg

Nieuwscoördinator

13-02-2020 • 20:49

134 Linkedin

Reacties (134)

Wijzig sortering


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True