De laatste jaren is er steeds meer belangstelling voor het gebruik van internet en mobiele technologie om de toegang tot het stemproces te verbeteren. Tegelijkertijd waarschuwen computerbeveiligingsdeskundigen dat papieren stembiljetten het enige veilige stemmiddel zijn.

Nu brengen MIT-onderzoekers nog een andere zorg naar voren: ze zeggen dat ze beveiligingsproblemen hebben blootgelegd in een mobiele stemtoepassing die werd gebruikt tijdens de tussentijdse verkiezingen van 2018 in West Virginia. Hun beveiligingsanalyse van de applicatie, Voatz genaamd, wijst op een aantal zwakke punten, waaronder de mogelijkheid voor hackers om te wijzigen, te stoppen of te onthullen hoe een individuele gebruiker heeft gestemd. Bovendien ontdekten de onderzoekers dat het gebruik van een externe leverancier door Voatz voor identificatie en verificatie van kiezers potentiële privacyschendingen voor gebruikers met zich meebrengt.

De bevindingen worden beschreven in een nieuwe technisch papier door Michael Specter, een afgestudeerde student aan de afdeling elektrotechniek en informatica (EECS) van MIT en lid van de MIT's Onderzoeksinitiatief voor internetbeleid, en James Koppel, ook een afgestudeerde student in EECS. Het onderzoek werd uitgevoerd onder leiding van Daniel Weitzner, hoofdonderzoeker bij MIT's Computer Science and Artificial Intelligence Lab (CSAIL) en oprichtend directeur van het Internet Policy Research Initiative.

Nadat ze deze beveiligingsproblemen hadden ontdekt, maakten de onderzoekers hun bevindingen bekend aan de Cybersecurity and Infrastructure Agency (CISA) van het Department of Homeland Security. De onderzoekers werkten, samen met de Boston University / MIT Technology Law Clinic, nauw samen met verkiezingsbeveiligingsfunctionarissen binnen CISA om ervoor te zorgen dat betrokken verkiezingsfunctionarissen en de verkoper op de hoogte waren van de bevindingen voordat het onderzoek openbaar werd gemaakt. Dit omvatte het opstellen van schriftelijke samenvattingen van de bevindingen met proof-of-concept-code en directe discussies met betrokken verkiezingsfunctionarissen over door CISA georganiseerde oproepen.

Naast het gebruik ervan bij de verkiezingen in West Virginia in 2018, werd de app ingezet bij verkiezingen in Denver, Oregon en Utah, evenals bij de Massachusetts Democratic Convention 2016 en de Utah Republican Convention 2016. Voatz werd niet gebruikt tijdens de caucussen van Iowa in 2020.

De bevindingen onderstrepen de noodzaak van transparantie in het ontwerp van stemsystemen, aldus de onderzoekers.

"We hebben er allemaal belang bij de toegang tot de stemming te vergroten, maar om het vertrouwen in ons verkiezingssysteem te behouden, moeten we ervoor zorgen dat de stemsystemen voldoen aan de hoge technische en operationele veiligheidsnormen voordat ze in het veld worden gezet", zegt Weitzner. 'We kunnen niet experimenteren met onze democratie.'     

"De consensus van beveiligingsexperts is dat het vandaag niet mogelijk is om veilige verkiezingen via internet te houden", voegt Koppel toe. "De redenering is dat zwakke punten overal in een grote keten een tegenstander een ongepaste invloed op een verkiezing kunnen geven, en de software van vandaag is zo wankel dat het bestaan ​​van onbekende exploiteerbare gebreken een te groot risico is om te nemen."

De resultaten opsplitsen

De onderzoekers waren in eerste instantie geïnspireerd om een ​​veiligheidsanalyse van Voatz uit te voeren op basis van Specter's onderzoek met Ronald Rivest, hoogleraar Instituut bij MIT; Neha Narula, directeur van het MIT Digital Currency Initiative; en Sunoo Park SM '15, PhD '18, die de haalbaarheid onderzoeken van het gebruik van blockchain-systemen bij verkiezingen. Volgens de onderzoekers beweert Voatz een toegestane blockchain te gebruiken om de veiligheid te garanderen, maar heeft het geen broncode of openbare documentatie vrijgegeven over hoe hun systeem werkt.

Spectre, die samen een MIT doceert Onafhankelijke activiteiten Periodecursus opgericht door Koppel dat zich richt op reverse engineering-software, heeft het idee van de reverse-engineering van Voatz's toepassing ter sprake gebracht, in een poging om beter te begrijpen hoe het systeem werkte. Om ervoor te zorgen dat ze de lopende verkiezingen niet belemmerden of gebruikersrecords blootlegden, hebben Specter en Koppel de applicatie reverse-engineered en vervolgens een model van de Voatz-server gemaakt.

Ze ontdekten dat een tegenstander met externe toegang tot het apparaat de stem van een gebruiker kan wijzigen of ontdekken, en dat de server, indien gehackt, die stemmen gemakkelijk kan wijzigen. "Het lijkt er niet op dat het protocol van de app probeert [echte stemmen] te verifiëren met de back-end blockchain", legt Spectre uit.

'Misschien wel het meest verontrustend, we ontdekten dat een tegenstander van een passief netwerk, zoals je internetprovider of iemand bij jou in de buurt als je niet-versleutelde wifi gebruikt, kan detecteren op welke manier je hebt gestemd in sommige configuraties van de verkiezing. Erger nog, agressievere aanvallers kunnen mogelijk detecteren op welke manier u gaat stemmen en vervolgens de verbinding op basis daarvan alleen verbreken. '

Naast het detecteren van kwetsbaarheden met het stemproces van Voatz, ontdekten Specter en Koppel dat de app privacyproblemen oplevert voor gebruikers. Aangezien de app een externe leverancier gebruikt voor verificatie van kiezers-ID, kan een derde partij mogelijk toegang krijgen tot de foto van een kiezer, rijbewijsgegevens of andere vormen van identificatie, als het platform van die leverancier niet ook veilig is.      

"Hoewel het privacybeleid van Voatz het heeft over het verzenden van bepaalde informatie naar derden, wordt voor zover we kunnen zien dat een derde het rijbewijs en de selfie van de kiezer krijgt niet expliciet vermeld", merkt Spectre op.

Roept op tot meer openheid

Spectre en Koppel zeggen dat hun bevindingen wijzen op de noodzaak van openheid als het gaat om de verkiezingsadministratie, om de integriteit van het verkiezingsproces te waarborgen. Momenteel merken ze op dat het verkiezingsproces in staten die papieren stembiljetten gebruiken transparant is ontworpen en dat burgers en vertegenwoordigers van politieke partijen de gelegenheid krijgen om het stemproces te observeren.

Koppel merkt daarentegen op: “De app en infrastructuur van Voatz waren volledig gesloten; we kregen alleen toegang tot de app zelf.     

“Ik vind dit type analyse buitengewoon belangrijk. Op dit moment is er een drang om stemmen toegankelijker te maken door gebruik te maken van stemsystemen op internet en mobiel. Het probleem hier is dat die systemen soms niet worden gemaakt door mensen die deskundig zijn in het veilig houden van stemsystemen, en dat ze worden ingezet voordat ze een goede beoordeling kunnen krijgen ', zegt Matthew Green, universitair hoofddocent aan het Johns Hopkins Information Security Institute . In het geval van Voatz voegt hij eraan toe: 'Het lijkt erop dat hier veel goede bedoelingen waren, maar het resultaat mist belangrijke kenmerken die een kiezer zouden beschermen en de integriteit van verkiezingen zouden beschermen.'

In de toekomst waarschuwen de onderzoekers dat softwareontwikkelaars moeten bewijzen dat hun systemen even veilig zijn als papieren stembiljetten.

'Het grootste probleem is transparantie', zegt Spectre. "Als je een deel van de verkiezingen hebt dat ondoorzichtig is, dat niet zichtbaar is, dat niet openbaar is, dat een soort van eigendomscomponent heeft, is dat deel van het systeem inherent verdacht en moet er veel aandacht aan worden besteed."