Tusk Philanthropies這個組織媒合了6家手機投票app廠商與資安專家,致力於將手機投票app帶給廣大的群眾,因為他們了解到絕大部分員工數小於300人的新創企業都不會增加經營成本聘用全職的資安工程師。
以媒合對象之一,位於紐約的資安公司Trail of Bits為例,在2019年的時候,便對手機投票app Voatz進行了白箱測試(white-box testing),資安工程師們會有完整的原始碼以及所要求的技術文件,才能發現安全漏洞與進行修補。一開始拿到的原始碼都很完整,且看得出來是厲害的工程師所編寫,但他們在過了一週之後才拿到的技術文件上卻只看到一頁的資安政策。
Trail of Bits的執行長Dan Guido表示,在幾次會議後他便了解到,會有這樣的狀況是因為準備這份技術文件的人就是Voatz的執行長本人。Voatz的兩位創辦人不僅要負責維護自家app的程式庫,還要一邊營運公司。最後Trail of Bits公布了Voatz程式中的79項弱點,其中有三分之一屬於高風險弱點。這場白箱測試的領隊測試工程師Evan Sultanik表示,他並不擔心app程式裡面找到的加密金鑰是從程式設計論壇上照抄而來,反倒擔心那些金鑰自2018年被使用後就一直留在程式庫中,資安防護強度堪慮。
由於美國的選舉由各州獨立舉行,每一場選舉的功能需求都大相徑庭,許多證據顯示Voatz成長得非常快速,以極力趕上每一場使用這個app的新的選舉要求。Dan Guido一針見血的指出,所有的投票app都會面臨相同的時間與資源限制,而軟體安全與加密專家不但數量很少,還相當昂貴。
原文連結:
https://www.cyberscoop.com/online-voting-election-security-voatz-app-risky-business/
Photo created by freepik
