[ 229,037 page views, 81,838 usuários - média últimos 90 dias ] - [ 5.767 assinantes na newsletter, taxa de abertura 27% ]

cell-phone-690192_640.jpg

MIT diz que app móvel de votação com blockchain é vulnerável

App Voatz, que vai permitir que soldados americanos de West Virginia que estão longe de casa votem pelo celular na eleição para a presidência dos Estados Unidos em novembro deste ano, tem várias brechas de segurança

cell-phone-690192_640.jpg

O aplicativo móvel de votação protegido por blockchain Voatz, que vai permitir que soldados americanos de West Virginia que estão longe de casa votem pelo celular na eleição para a presidência dos Estados Unidos em novembro deste ano, foi alvo de ataques de pesquisadores do Massachusetts Institute of Technology, o renomado MIT.

Os pesquisadores disseram que suas análises de segurança apontam várias vulnerabilidades que permitiriam aos hackers “alterar, parar ou expor como um usuário votou”, “apresentam possíveis problemas de privacidade para os usuários”. Além disso, eles disseram que o app têm transparência restrita, limitando a capacidade de garantir a integridade dos aplicativos.

“Nossas descobertas servem como ilustração concreta do senso comum contra o voto na internet e da importância da transparência para a legitimidade das eleições”, escreveram os pesquisadores, em um artigo no qual descrevem a análise do sistema Voatz.

Para a análise, os pesquisadores inverteram a engenharia do aplicativo e criaram um modelo do servidor Voatz. Eles disseram que a “documentação mínima disponível do sistema” os impediu de executar testes no processo de votação real, de modo que o estudo apresenta “uma análise do processo de eleição visível no próprio aplicativo”.

Antes de divulgar o documento, a equipe do MIT levou suas descobertas à Agência de Segurança Cibernética e Infraestrutura (CISA) do Departamento de Segurança Interna, cuja equipe de Caça e Resposta a Incidentes (HIRT) investigou se havia alguma evidência de atividade maliciosa, atual ou anterior, no ambiente de rede Voatz.

De acordo com a avaliação realizada em setembro de 2019 com foco nas redes corporativas e de nuvem da Voatz, a CISA não encontrou evidências de ameaças ativas, de acordo com um relatório da Coindesk. No relatório do HIRT, os investigadores disseram ter descoberto alguns problemas que poderiam apresentar preocupações futuras, mas no geral elogiaram a empresa por suas “medidas proativas, como alertas Shodan, verificação interna ativa e formação de equipes de alertas”.

O HIRT não avaliou a segurança do aplicativo em si. Em uma postagem no blog da Voatz, sob o título “Resposta ao relatório defeituoso dos pesquisadores”, a empresa detalhou três falhas “fundamentais” na pesquisa.

Primeiro, disseram executivos da empresa, a equipe do MIT usou uma versão para Android do aplicativo Voatz que tinha “pelo menos 27 versões no momento de sua divulgação e não era usada em uma eleição”. Segundo, o aplicativo nunca se conectou aos servidores Voatz, hospedados na Amazon Web Services e no Azure da Microsoft, tornando os pesquisadores incapazes de se registrar com o aplicativo, verificar sua identidade ou receber ou votar. Terceiro, a empresa afirmou que, em vez de acessar os servidores Voatz, os pesquisadores “fabricaram uma versão imaginada” dos servidores, com a hipótese de como eles funcionavam e fizeram suposições “que são simplesmente falsas”.

Respondendo às reclamações dos pesquisadores sobre a falta de transparência da empresa, a Voatz disse que trabalha com “pesquisadores qualificados e colaborativos”. Também enfatizou que em todas as eleições que usaram o aplicativo Voatz — que envolveram menos de 600 eleitores — nenhum problema foi relatado.

O aplicativo Voatz foi usado na Virgínia Ocidental nas eleições estaduais de novembro de 2018, quando 144 soldados espalhados por 30 países foram capazes de votar. Ainda este mês, o aplicativo será disponibilizado para eleitores com deficiência física.

O eleitor baixa o aplicativo em seu smartphone, que verifica sua identidade por meio da foto da carteira de motorista, ID do estado ou passaporte que corresponde a uma selfie. Uma vez confirmada a identidade, ele recebe uma cédula móvel com base na que receberia no local físico de votação. A tecnologia de blockchain garante que os votos não possam ser adulterados depois de gravados. O aplicativo também foi usado nos estados do Colorado e Utah.