アイオワ州民主党党員集会でのモバイルアプリの混乱からわずか1週間後、MITのコンピューター科学者らは、ウェストバージニア州の2018年中間選挙で使用されたVoatzアプリの分析結果を発表した。
彼らは、Androidアプリは米国の州の選挙の正当性を損なう可能性のある攻撃に対して脆弱であると主張している。
本日発表された「ブロックチェーンの前では投票用紙は破られる:米国連邦選挙で使用された最初のインターネット投票アプリケーションであるVoatzのセキュリティ分析」と題する論文[PDF]での研究結果に基づき、研究者のマイケル・スペクター、ジェームズ・コッペル、ダニエル・ワイツナーは、インターネット投票はまだ安全な選挙システムのセキュリティ要件を満たしていないと結論付けている。
「Voatzには、さまざまな種類の敵対者がユーザーの投票を改ざん、停止、または公開できる脆弱性があることがわかった。これには、完全に受動的なネットワークの敵対者がユーザーの秘密投票を復元できる可能性のあるサイドチャネル攻撃も含まれる」と論文には記されている。
「さらに、Voatz は重要なアプリ機能のためにサードパーティのサービスを利用していることから、プライバシーに関する多くの問題があることがわかりました。」
具体的には、研究者らは、マルウェアや有権者のモバイル デバイスへのルート アクセス権を持つ悪意のある人物が、Zimperium SDK と呼ばれるモバイル セキュリティ ソフトウェアが提供するホスト保護を回避できることを発見しました。
アプリに組み込まれているSDKは、デバッグの試みやアプリの改変を検知するように設計されています。しかし、Xposed Frameworkと4行のコードで無効化することが可能です。フックユーティリティを用いてアプリケーションの制御フローを変更することで無効化できます。その後、ルート権限を持つ攻撃者はアプリを乗っ取り、例えば投票を横取りするためにインターフェースを改変したり、投票用紙や個人データを外部サーバーに漏洩させたりすることが可能になります。
これは無理な話に聞こえるかもしれない。ほとんどの人は、ルート権限のあるスマートフォンに悪意のあるプログラムをインストールしていないからだ。もしアメリカの選挙を不正に操作したいと思っていて、組織的であれば、Voatzを標的にし、国民の投票用紙を改ざんするように特別にカスタマイズされたマルウェアを開発できる。ほんの数人に感染させるだけでも、接戦の選挙結果を左右する可能性がある。
平文
研究者らはまた、アプリのネットワーク実装によってユーザーの投票情報が漏洩する可能性があることも発見した。アプリは候補者に関連する平文のメタデータを漏洩し、付随する暗号文の長さと比較することで、選ばれた候補者の隠された名前を推測できると研究者らは主張している。
さらに、このアプリを開発するVoatz社は、アプリのデータはブロックチェーン技術によって保護されていると謳っているものの、研究者たちはコードを調べたところ、「アプリがブロックチェーンに認証された、あるいはブロックチェーン上に保存された記録を受け取ったり検証したりする兆候は全く見つからなかった」と述べている。また、「ハッシュチェーン、透明性ログ、その他の暗号による包含証明への言及も見つからなかった」という。
どのようなブロックチェーン実装が存在するにせよ、それはアプリをサポートするサーバー上で行われると彼らは結論付けています。
また、彼らはユーザーデータのプライバシーについても懸念を表明しています。なぜなら、このアプリはZimperiumに加えて、本人確認サービスJumioやクラッシュレポートサービスCrashlyticsといったサードパーティサービスを実装しているからです。さらに、Jumioはビデオセルフィーの分析に独自のサードパーティであるFacetecを統合していると指摘しています。潜在的な問題は、これらのサービスがデータを安全でない方法で、あるいは非公開の方法で取り扱う可能性があることです。
木曜日、ヴォーツ氏はブログ記事でこの報告書に反応したが、ジョンズ・ホプキンス大学情報セキュリティ研究所のコンピューターサイエンス准教授マシュー・グリーン氏がツイッターで述べたように、「調査結果のいずれにも実際に反論することは避け、漠然と研究手法を攻撃することに集中しているようだ」という。
同社は自社のアプリを擁護し、「(研究者らの)分析方法、検証されていない主張、そして悪意のある推奨に3つの根本的な欠陥」を発見したと主張している。
アイオワ州はすでに2020年の最悪のIT導入賞を受賞している。投票アプリをめぐる騒動で、ひどい党員集会アプリを非難する声が上がっている。
続きを読む
アプリ業界は、研究者らがVoatzの古いバージョンを調査したと主張している。このバージョンはその後少なくとも27回アップデートされている。同社は、アプリの調査ではAmazon AWSとMicrosoft Azureのバックエンドサーバーに接続したことがなく、サーバー側のセキュリティ対策が欠如していたと主張している。
また、研究者らによるアプリのバックエンドに関する推測は「システム全体を侵害する能力についての主張を無効にし」、その信頼性を損なうと主張している。
ヴォーツ氏は研究者らを激しく非難し、彼らの真の目的は「選挙プロセスを故意に混乱させ、選挙インフラの安全性に疑念を抱かせ、恐怖と混乱を広めること」だと主張している。
ジョージタウン大学のコンピューターサイエンスと法律の教授マット・ブレイズ氏は、驚くべきことはモバイルインターネット投票システムに欠陥があることではなく、ヴォーツ氏がそうではないと主張することだと指摘した。
「ヴォーツ氏のような人物が『安全なオンライン投票ソリューション』を提案してきた場合、当局は、国家エネルギー政策の基礎として常温核融合を提案されたときとほぼ同じような反応を示すべきだ」と同氏はツイッターに書いた。
あるいは、研究者らは次のように結論づけている。「電子のみのモバイルまたはインターネット投票システムが、選挙システムの厳格なセキュリティ要件を実際に克服できるかどうかは依然として不明である。」®
