-
腾讯创作者生态的前车之鉴,能否支撑《元梦之星》逐梦UGC?
发布时间:2023/09/24
近期,腾讯以“天美乐园”的特别形式公布了新作《元梦之星》,宣告正式入主派对游戏赛道。过去,派对游戏在国内市场份额较小,直到《糖豆人》《香肠派对》《蛋仔派对》等作品引发用户和市场的高度关注,整个赛道才...
-
普悦智能,专注净水,为渠道经销搭载新引擎!
发布时间:2023/08/28
稳步推进:祝贺普悦智能(北京联营公司)第一轮股东入股签约圆满成功! 2023年8月18日,浙江普悦智能科技有限公司北京联营公司——北京普悦京允智能科技有限公司在总经理宋玉财的热忱推进下,成功签约了五名销售/服...
-
新鸿基地产园区中心封面地标, 苏州环贸汇众盼而至
发布时间:2021/12/28
当苏州迈向全球都会序列之际,当苏州园区盛启一城想象之时。实力港企新鸿基地产携苏州首个超高层多业态综合体住宅——新鸿基地产苏州环贸汇澎湃而来,势将为苏州高净值投资人群挚献园区中心CBD地标之作,擎领苏州未...
-
看图操作,三步即可开通微粒贷
发布时间:2021/12/01
微粒贷是由国内首家互联网银行微众银行推出的一款小额信贷产品,具有无抵押无担保、随借随还等特点,深受大家的喜欢。在此,小编结合官方资料,为想用微粒贷却不知怎么开通的朋友提供一些帮助。微粒贷开通 第一...
-
英国与快速反应小组一起抗击冠状病毒
发布时间:2020/04/01
英国政府宣布了新的措施,以打击虚假的COVID-19在线信息的传播,包括建立专门的专家小组来处理错误信息。 新成立的快速反应小组将在英国内阁办公室内部运作,并将研究应对互联网上“有害叙述”的方法-解决“...
-
微软即将吸引消费者-但Skype仍将保留
发布时间:2020/03/31
微软今天宣布,今年晚些时候,它将推出Teams的基本消费版,即类似于Slack的文本,音频和视频聊天应用程序。就像Microsoft所喜欢的,您的个人生活团队将使用许多工具,这些工具将使家庭和小组更轻松地组织...
-
安全漏洞暴露了共和党选民公司的内部应用代码
发布时间:2020/03/31
一家专供共和党政治运动使用的选民联系和拉票公司,错误地在其网站上留下了未经保护的应用程序代码副本,供任何人找到。 Campaign Sidekick公司通过iOS和Android应用程序帮助共和党竞选活动布署其选区,这...
-
在宾夕法尼亚州,州酒商店仍然关闭,人们越来越口渴
发布时间:2020/03/31
随着美国人渴望长时间的自我隔离,白酒业务的销量激增。根据尼尔森(Nielsen)的数据,到3月中旬,这一增长已经比去年同期高出26%以上。但是,联盟中至少有一个州与这种趋势背道而驰,而且与消费者的意愿无...
安全专家对俄勒冈和华盛顿大选计划的移动应用程序发出警报
发布时间:2020/02/14 新闻 浏览次数:624
爱荷华州民主党因移动应用程序崩溃后仅两个星期,移动应用程序和选举安全再次成为新闻,这次是西北太平洋地区。
Voatz是总部位于波士顿的移动投票应用程序制造商,“其使命是使投票更安全,更容易获得”。华盛顿和俄勒冈州的一些县已经或计划在初选中使用沃茨,包括2020年大选。监督西雅图选举的金县选举目前不打算使用Voatz。华盛顿的梅森县以及俄勒冈州的杰克逊和乌玛蒂拉县正计划使用Voatz。
麻省理工学院(MIT)的三位学术研究人员Michael A. Specter,James Koppel和Daniel Weitzner刚刚发布了一份研究报告,概述了该应用程序的众多安全性和隐私问题。他们认为这些问题是如此严重,以至于他们说:“调查结果是反对互联网投票的普遍智慧的具体例证,以及透明度对选举合法性的重要性。”
该报告引人注目,因为尽管过去曾报告可能存在问题,但这是首次详细的学术分析。这是一个详尽的分析。正如作者所说,“我们基于其Android应用程序的逆向工程和系统的最小可用文档,对Voatz进行了首次公共安全分析。我们执行了Voatz服务器无尘室的重新实现,并提供了从应用程序本身可见的选举过程分析。”
作者在一个简单的图表(如下)中概述了他们发现的关键安全和隐私问题。
简而言之,旨在确保选票和选民信息的机密性和完整性的保护措施存在缺陷。正如作者所言,它们可以“允许不同类型的对手更改,停止或公开用户的投票,包括旁通道攻击,在这种攻击中,完全被动的网络对手可以潜在地恢复用户的秘密投票。”
换句话说,攻击者可以看到您的投票,更改您的投票,甚至压制您的投票,您可能永远不会知道。
除了该应用程序的安全性问题外,研究人员还指出了另一个重要的关注领域:Voatz的透明性和与安全社区的互动,或者缺乏安全性。
在整篇文章中,作者将Voatz的任务归咎于缺乏透明度以及与更广泛的安全社区的接触。关于透明度,他们指出:
不幸的是,有关Voatz系统的公共信息不完整。 Voatz的FAQ,博客和白皮书仅对它们的整体系统和威胁模型进行了模糊的描述……尽管呼吁发布更详细的分析和选举安全社区中许多人以及民选代表提出的担忧,但Voatz拒绝了提供正式细节,理由是需要保护其知识产权。
他们与投票技术的其他安全性审查形成鲜明对比:
从方法上讲,由于Voatz缺乏透明度,我们的分析变得非常复杂-据我们所知,在先前对已部署的Internet投票系统(请参阅瑞士,莫斯科,爱沙尼亚和华盛顿特区)的安全审查中,研究人员享受了有关投票基础设施的重要信息,通常包括系统的设计以及系统本身的源代码。
在参与方面,他们回想起最近发生的一次事件,其中瓦茨对安全研究持敌对态度,最终导致FBI被称为:
更糟糕的是,当密歇根大学的研究人员在2018年对Voatz应用进行动态分析时,该公司将研究人员视为恶意行为者,并向当局报告了这一事件。这导致联邦调查局对研究人员进行了调查。
在安全研究领域,这种敌意被否定了,被广泛认为是一种确保不将安全漏洞报告给供应商进行修复的方法。
Voatz的漏洞研究方法也可以从他们的公共漏洞赏金计划中看到,该计划仅显示9个已解决的问题,最大赏金为2,000美元。相比之下,微软为其ElectionGuard程序提供了高达$ 15,000的安全漏洞。
沃茨(Vaatz)在博客上回应了该报告,对研究人员的方法提出质疑,并抨击他们的“恶意建议”。关于透明度和宣传,Voatz说“我们非常开放并且有合格的协作研究人员”,并指出他们已经与“将近100名其他研究人员合作,使用我们最新版本的平台通过以下方式测试和验证其主张:我们在HackerOne上的公共漏洞赏金计划。”最后一点与他们的HackerOne页面不一致,该页面列出了13位研究人员,7个赏金和9个已解决的问题。
Voatz已经在西北地区对其应用程序的安全性提出了质疑和担忧。参议员罗恩·怀登(D-OR)最近写了一封信给俄勒冈州选举官员,以表达他的保留。
这份最新报告紧随爱荷华州民主党应用程序的另一个变化:紧要关头几天后,ProPublica发布了来自波士顿安全公司Vercacode的研究报告,其中详细介绍了该应用程序的许多安全问题。
密歇根大学(University of Michigan)选举安全部门的出口和计算机科学教授Alex Halderman在接受副母板采访时表示,这项研究似乎是“精心”完成的,其发现“使Voatz看起来很虚假”。
这些发现是新发现:选举官员没有时间采取行动。但是,所概述的担忧意味着有关Votaz的故事和有关移动投票的担忧才刚刚开始,无论是在全国范围内还是在西北地区。哈德曼在推文中毫不留情地提出下一步的想法:“我认为,根据麻省理工学院的调查结果,任何负责任的司法管辖区都不应在不久的真实选举中使用沃茨。在互联网投票足够安全之前,安全技术将取得重大进展。”
我认为,根据麻省理工学院的调查结果,任何负责任的司法管辖区都不应在不久的真实选举中使用沃茨。在互联网投票足够安全之前,安全技术将取得重大进展。
