Vulnerabilità per Voatz, l’app per le elezioni americane

Le elezioni negli Stati Uniti sono da sempre diverse dalle nostre, specialmente perché ogni Stato ha la libertà di selezionare i metodi che più lo aggrada. Per esempio, spesso, è permesso votare via posta, anche con settimane di anticipo.

Nel tempo, per rendere più facili le votazioni ai cittadini e immediati i conteggi, sono stati proposti (e talvolta adottati) vari metodi, anche stravaganti: dalle schede da perforare, alle macchine con le leve, ai tablet. Ovvia evoluzione, quindi, l’usi di una app sul proprio telefono.

Negli ultimi anni, in alcune elezioni sia locali che nazionali, comprese quelle di medio termine del 2018 (uno degli appuntamenti più importanti negli USA), una startup è riuscita a lanciare la propria app omonima, Voatz, e a farla utilizzare in alcuni progetti pilota. In totale gli elettori coinvolti sono stati meno di 600, ma il solo fatto di essere stato uno strumento ufficiale è degna di attenzione. Tanta attenzione che alcuni ricercatori del MIT hanno deciso di indagare sulla sicurezza di questa app, e pubblicato un’analisi tecnica approfondita.

Le conclusioni? Lasciate perdere l’app. Secondo i ricercatori il voto può essere non solo conosciuto da un eventuale attaccante, ma anche cancellato o modificato.
E la prima colpa? L’uso di varie componenti di terze parti closed-source, che hanno dei buchi, ma non potendo conoscere il codice non è possibile porre rimedio.

Ovviamente la startup ha subito replicato queste conclusioni, criticando principalmente il metodo usato – e dichiarato. Per esempio, l’app è stata solo analizzata in sé, offline, senza prendere in considerazione i backend per l’uso reale, con i loro strati di sicurezza. Forse, per questo punto, un precedente che ha portato nel 2018 alla denuncia di alcuni ricercatori del Michigan proprio per aver testato l’infrastruttura ha fatto un po’ da deterrente… Possibile, no?

Rimane il fatto che l’applicazione viene confezionata e la sicurezza garantita sulla fiducia, in quanto tutto il sistema è chiuso e non si può fare altro che fidarsi di chi l’ha realizzato.
Noi crediamo da sempre che la sicurezza è più efficace se aperta, se viene mostrato come la si garantisce, con codice open-source. Cosicché, in caso di qualche errore o sbavatura, chiunque possa proporre il rimedio.

Ho coltivato la mia passione per l'informatica fin da bambino, coi primi programmi BASIC. In età adulta mi sono avvicinato a Linux ed alla programmazione C, per poi interessarmi di reti. Infine, il mio hobby è diventato anche il mio lavoro.
Per me il modo migliore di imparare è fare, e per questo devo utilizzare le tecnologie che ritengo interessanti; a questo scopo, il mondo opensource offre gli strumenti perfetti.

Tags: , ,