Trong những năm gần đây cộng đồng ngày càng quan tâm đến việc sử dụng internet và công nghệ di động để tăng quyền truy cập vào quá trình bỏ phiếu. Tuy nhiên các chuyên gia bảo mật máy tính cảnh báo rằng bỏ phiếu truyền thống bằng giấy là phương tiện duy nhất thực sự an toàn.

Các nhà nghiên cứu của MIT cho biết họ đã phát hiện ra các lỗ hổng bảo mật trong một ứng dụng bỏ phiếu di động được sử dụng trong cuộc bầu cử giữa nhiệm kỳ 2018 ở Tây Virginia. Phân tích bảo mật của họ về ứng dụng, gọi là Voatz, xác định một số điểm yếu, bao gồm cơ hội cho tin tặc thay đổi phiếu đã bầu hoặc tiết lộ cách một người dùng cá nhân đã bỏ phiếu. Ngoài ra, các nhà nghiên cứu nhận thấy rằng việc Voatz sử dụng nhà cung cấp bên thứ ba để nhận dạng và xác minh cử tri đặt ra các vấn đề riêng tư tiềm ẩn cho người dùng.

Các nhà nghiên cứu tại MIT phát hiện một số lỗ hổng trong ứng dụng bỏ phiếu Voatz của Mỹ.

Những phát hiện này được mô tả trong bài báo của Michael Specter, học viên cao học Khoa Khoa học Máy tính và Khoa học Máy tính (EECS) của MIT, thành viên của Sáng kiến Nghiên cứu Chính sách Internet MIT; và James Koppel, cũng là học viên cao học tại EECS.

Sau khi phát hiện ra các lỗ hổng bảo mật, các nhà nghiên cứu đã tiết lộ kết quả của họ cho Cơ quan Cơ sở hạ tầng và An ninh mạng của Bộ An ninh Nội địa Hoa Kỳ (CISA). Các nhà nghiên cứu, cùng với Đại học Boston và Văn phòng luật MIT, đã phối hợp chặt chẽ với những người phụ trách an ninh bầu cử trong CISA để đảm bảo rằng các cơ quan quản lý và nhà cung cấp dịch vụ Voatz biết về những phát hiện này trước khi nghiên cứu được công bố.

Ngoài cuộc bầu cử ở Tây Virginia năm 2018, ứng dụng Voatz còn được triển khai trong các cuộc bầu cử ở Denver, Oregon và Utah, cũng như tại Hội nghị Đảng Dân chủ Massachusetts 2016 và Hội nghị Đảng Cộng hòa Utah 2016.

Các phát hiện cho thấy cần phải minh bạch hơn trong việc thiết kế các hệ thống bỏ phiếu, theo các nhà nghiên cứu.

"Chúng ta đều quan tâm đến việc tăng quyền truy cập vào lá phiếu, nhưng để duy trì niềm tin vào hệ thống bầu cử, phải đảm bảo rằng các hệ thống bỏ phiếu đáp ứng các tiêu chuẩn bảo mật kỹ thuật cao trước khi chúng được đưa vào sử dụng," Weitzner nói. "Chúng ta không thể thử nghiệm trên nền dân chủ của mình."

"Các chuyên gia bảo mật không thể đồng thuận với việc tổ chức một cuộc bầu cử trên internet," Koppel nói thêm. "Lý do là những điểm yếu ở bất cứ nơi nào trong một chuỗi lớn có thể gây ra ảnh hưởng không đáng có đối với một cuộc bầu cử, và các phần mềm hiện nay có nguy cơ tồn tại những lỗ hổng có thể bị khai thác."

Phân tích kết quả

Các nhà nghiên cứu phân tích bảo mật với Voatz xuất phát từ một nghiên cứu khám phá tính khả thi của việc sử dụng các hệ thống blockchain trong bầu cử. Theo các nhà nghiên cứu, Voatz tuyên bố sử dụng blockchain để đảm bảo an ninh, nhưng chưa phát hành bất kỳ mã nguồn hoặc tài liệu công khai nào về cách hệ thống của họ hoạt động.

Để hiểu rõ hơn về cách thức hoạt động của hệ thống Voatz và đảm bảo rằng họ không can thiệp vào bất kỳ cuộc bầu cử đang diễn ra hoặc tiết lộ hồ sơ người dùng, Spectre và Koppel đã thiết kế ngược ứng dụng và sau đó tạo ra một mô hình máy chủ Voatz.

Họ phát hiện ra rằng một tin tặc có quyền truy cập từ xa vào thiết bị có thể thay đổi hoặc xem trước phiếu bầu của người dùng; và máy chủ Voatz, nếu bị hack, có thể dễ dàng thay đổi những phiếu bầu của cử tri. "Không có vẻ gì là ứng dụng này sử dụng nền tảng blockchain để xác minh phiếu bầu," Spectre giải thích.

"Đáng báo động nhất, chúng tôi thấy rằng một kẻ thù mạng thụ động, như nhà cung cấp dịch vụ internet của bạn hoặc ai đó ở gần bạn nếu bạn dùng Wi-Fi không được mã hóa, có thể đọc phiếu bầu của bạn. Những kẻ tấn công mạnh tay hơn có thể phát hiện ra cách bạn sẽ bỏ phiếu và sau đó chặn kết nối."

Ngoài việc phát hiện các lỗ hổng với quy trình bỏ phiếu Voatz, Spectre và Koppel thấy rằng ứng dụng này gây ra các vấn đề riêng tư cho người dùng. Vì ứng dụng sử dụng nhà cung cấp bên ngoài để xác minh ID cử tri, nên bên thứ ba có khả năng truy cập ảnh của cử tri, dữ liệu giấy phép lái xe hoặc các hình thức nhận dạng khác, nếu nền tảng của nhà cung cấp đó cũng không bảo mật.

Kêu gọi cởi mở

Spectre và Koppel lưu ý, quá trình bầu cử ở các bang sử dụng phiếu bầu bằng giấy được thiết kế minh bạch, và công dân và đại diện của đảng chính trị được trao cơ hội để quan sát quá trình bỏ phiếu. Ngược lại, "ứng dụng và cơ sở hạ tầng của Voatz hoàn toàn đóng; chúng tôi chỉ có thể truy cập vào giao diện của ứng dụng (như một người dùng bình thường)," theo Koppel.

"Sử dụng các hệ thống bỏ phiếu dựa trên internet và di động làm cho cử tri bỏ phiếu dễ dàng hơn. Vấn đề là đôi khi những hệ thống đó không được tạo ra bởi những người có chuyên môn trong việc giữ an toàn cho hệ thống bầu cử và chúng được triển khai trước khi được đánh giá đúng cách," Matthew Green, phó giáo sư tại Viện An ninh Thông tin Johns Hopkins, nói. Trong trường hợp của Voatz, ông nói thêm, "thiếu các tính năng bảo vệ cử tri và bảo vệ sự toàn vẹn của các cuộc bầu cử."

Trong tương lai, các nhà nghiên cứu cảnh báo rằng các nhà phát triển phần mềm nên chứng minh hệ thống của họ an toàn như phiếu bầu.

"Vấn đề lớn nhất là sự minh bạch," theo Spectre. "Khi bạn có một công đoạn mờ ám, độc quyền hoặc không công khai trong bầu cử, thì cần phải nghi ngờ và xem xét kỹ lưỡng."

Nguồn:

http://news.mit.edu/2020/voting-voatz-app-hack-issues-0213