美国一家网络安全供应商日前证实,一名携带价值25美元的PCMCIA卡的黑客,可以在几分钟内改变目前在美国13个州有限使用的老式电子投票机上的投票总数。
这次攻击是由安全供应商Cylance发起的发布了一个视频星期五,引起了关注但其他对电子投票安全持批评态度的人士认为,这一漏洞并不是什么新鲜事。
该公司指出,Cylance黑客事件证明了一个理论上的漏洞,早在10年前的研究中就有描述。
选举安全倡导组织“验证投票”(Verified Voting)的主席帕梅拉·史密斯(Pamela Smith)在电子邮件中说,这次黑客攻击“不足为奇”。“发布的时机有点奇怪。”
+选举黑客:神话和现实+
黑客,美国情报机构指出俄罗斯政府他们一直试图通过公开民主党的电子邮件和文件来质疑本周美国大选的有效性。与此同时,共和党总统候选人唐纳德·特朗普一直在没有确凿证据的情况下警告支持者,选举可能被“操纵”,不利于他。
自由与公平公司(Free and Fair)的安全研究员兼首席执行官乔·金利里(Joe Kiniry)说,赛兰斯的示威“并不新鲜,时机也不合适”。自由与公平公司是一家选举技术开发商。“这种攻击已经证明在几乎所有今天使用的广泛部署的机器。”
Cylance为这段视频辩护说,这是对电子投票机安全问题的及时提醒。该公司关于这台机器的研究最近“取得了成果”,该公司负责研究的副总裁瑞安史密斯(Ryan Smith)说,西兰斯还想提醒投票工作人员,在周二的选举期间,他们需要保持警惕。
他补充说,这段视频是在美国大选之前发布的,人们正在关注这个问题。电子投票机的漏洞已经讨论了多年,“但我们仍然没有采取任何措施,”他说。
投票机的供应商自治权投票系统,没有立即回应对Cylance黑客的评论请求。
Cylance所瞄准的Sequoia AVC Edge Mk1电子投票机被一些潜在的总统摇摆州的选区使用,这些州包括佛罗里达州、亚利桑那州、宾夕法尼亚州、科罗拉多州、内华达州和威斯康星州。帕梅拉·史密斯说,这款机器在内华达州和威斯康星州广泛使用,但两个州都有选举后审计程序。
在其他州,包括佛罗里达和科罗拉多,这种机器只在少数几个有特殊访问要求的地方使用。她说,Pennslyvania只在一个县使用这种机器。
在Cylance hack中,用黑客想要的投票总数编写的PCMCIA卡可以插入Sequoia AVC机器的插槽中。然后,黑客可以改变投票总数,甚至是候选人的名字,Cylance演示道。
瑞安·史密斯说,一些州在电子投票机上安装了篡改封条,以阻止现场黑客攻击,但投票工作人员可能没有意识到封条被破坏的潜在问题。他说,西兰斯的视频是想给他们看的。
不过,爱荷华大学(University of Iowa)计算机科学教授道格拉斯琼斯(Douglas Jones)说,Cylance黑客的潜在用途还是有限的。他指出,大选期间的主要担忧是来自俄罗斯或其他海外黑客的黑客行为,而Cylance黑客行为取决于对每台机器的物理访问。
琼斯在电子邮件中说,“如果我们担心的对手是一个有意控制一个县的地方政治机器,那么Cylance的黑客攻击将是毁灭性的。”
他补充说,即使是这样的本地黑客攻击,也可能需要几个人参与的阴谋,可能有人泄露了计划。
琼斯说:“可能存在这样腐败的政治机器,我们应该逐步淘汰这些投票机器,防止它们被滥用。但这不是这次选举的重大新闻。”“这次黑客攻击与人们担心弗拉基米尔·普京试图控制总统选举无关。”
