在巴西使用的電子投票系統中發現了五個安全漏洞。調查結果是在公共安全測試(TPS) 的第六階段得出的,這是上週在巴西利亞(DF) 舉行的一項活動,有26 名研究人員或獨立團體參加。根據高等選舉法院(TSE)的說法,所發現的漏洞都無法改變選舉結果,但即便如此,它們也將在5 月之前得到糾正。
Twitter 加入TSE 以提高公眾對2022 年選舉的認識谷歌在2022 年大選中展示其打擊虛假信息的武器
其中三個缺陷與加密貨幣系統和向TSE 系統發送選票有關。選舉期間投票箱與互聯網斷開連接,結果通過網絡發送到機關; 正是在那裡,巴西利亞聯邦警察總署的專家在一個由Paulo César Herrmann Wanner、Ivo de Carvalho Peixinho 和Galileo Batista de Sousa 組成的團隊中設法訪問了法院的系統並獲得了訪問憑證。
據TSE 稱,雖然該漏洞不允許操縱選票或結果,但它可能導致對該機構平台的網絡攻擊,因為此類環境應該受到限制。研究員Felipe de Lima 和Lima 也進行了類似的探索,他們能夠找到本應被阻止的快捷鍵,但最終卻允許訪問系統。
——
在Twitter 上關注Canaltech,成為第一個了解技術世界中發生的一切的人。
——
第三位調查員安德烈·馬托斯(André Matos) 發現了一個缺陷,該缺陷導致用於發送投票箱的加密貨幣系統無效,投票箱用於將選舉區的結果傳輸給法院。作為回應,TSE 表示將對該文件應用更多保護,該文件是公開的並由該機構進行數字簽名。
物理探索
在電子投票箱測試活動結束後,路易斯·羅伯托·巴羅佐部長表示,失敗不會影響選舉,但應在5 月之前糾正(圖片來源:Divulgação / TSE)
高等選舉法院驗證的另外兩個漏洞與電子投票箱的物理操作有關。在最簡單的情況下,研究人員伊恩·馬丁內斯·齊默爾曼和卡洛斯·阿爾貝托·達席爾瓦利用電子投票箱的耳機輸出連接了藍牙發射器,該發射器捕獲並傳輸了選民投票的聲音,從而打破了選擇的保密性。
根據TSE 的說法,這種漏洞很難被利用,因為連接器位於設備背面,並且僅在有視力障礙的選民的要求下使用。即便如此,也會分析漏洞以增加針對此類攻擊的安全協議,這在之前的測試階段已經提到過。
由Marcos Roberto dos Santos、Adroaldo Leão Júnior、Gabriel Sordi Damo、Juliano Poli 和Vinicius Fortes 組成的一組研究人員提出了一個概念,其靈感來自於欺詐者在ATM 中使用的設備。一個3D 打印的標誌可以貼在投票箱上並模擬真實的鍵盤,捕捉選民輸入的數字。
這個想法是,連同出勤報告和時間記錄,該設備將能夠打破投票的秘密。在TSE 看來,這次探索引發了關於減少投票站的爭論,這也將帶來在此過程中限制使用手機的好處,防止選民記錄或拍攝他們的選擇。
法院認為這次活動是成功的,第六版的研究人員數量是歷史上最多的。總共有26 個團體或獨立調查人員提交了29 項概念證明,以針對電子投票箱和巴西選舉制度進行探索。據部長路易斯·羅伯托·巴羅佐(Luís Roberto Barroso) 稱,整個過程以公開和經過審計的方式進行,以確保最大程度的透明度。
雖然發現的漏洞都無法改變選舉進程,正如過去幾個月討論的很多,但TSE 將處理被認為相關的調查結果,TSE 必須糾正漏洞或提出解決方案可能。 2022 年選舉定於10 月2 日舉行,第二輪選舉定於10 月30 日舉行。
閱讀有關Canaltech 的文章。
Canaltech 的趨勢:
Spotify 的Wrapped 2021 現已推出其應用內年度回顧從Moto G100 到Moto G200 有什麼變化?找出哪些藝術家在2021 年在Spotify 上播放次數最多特斯拉Model 3在美國充電時起火併開啟警告信號發現巴西最便宜的三輪電動車
資訊來源:由0x資訊編譯自COINREVOLUTION。版權歸作者CoinRevolution所有,未經許可,不得轉載