剑客
关注科技互联网

Cylance 公开了一种投票机漏洞 4 天前选举

以下证明的概念视频演示技术 Cylance 研究者用来妥协红杉 AVC 边缘 Mk1 投票机。

录像显示,为第三方可以用来与 PCMCIA 卡,刷新固件和直接操纵投票票数统计在内存中的是多么的容易。

此外,该视频演示如何计票结果可以操纵公众的计数器和防护的计数器,它旨在作为一个冗余的核查制度,以确保结果有效。

类似的剥削提出了方法在理论的基础上由其他研究人员,如那些在 2007 年纸 ‘源代码审查的红杉投票系统’ (PDF),然后后来文章中讨论政治 ‘如何破解在 7 分钟内选举’,但 Cylance 是首次证明利用此漏洞在真实的场景中。

视频︰ Cylance 研究人员展示投票机漏洞



In the short term, for the upcoming 2016 election, Cylance recommends:

• 增加监督/监测的物理访问的电子投票机,尤其是因为它涉及到任何接口或端口除了选民激活卡插槽 (通常在前面找到)

• 频繁核查的硬件或软件错误,如那些在操作员屏幕上显示 (例如︰ 红杉投票机背面液晶屏)

监测和核查的篡改和/或瓶盖密封件 (通常用来防止或至少表明篡改) 周边设备、 端口、 闩锁,等。

在长期来看,逐步淘汰和更换弃用,不安全的计算机 — — 即那些没有鲁棒的基于硬件的固件和数据验证机制建议。此外,额外适当尽职调查的轮询的地方志愿人员、 工人和官员可能有助于减轻可能合谋篡改这些团体。

报告

Cylance 已经提供的制造商红杉和政府当局,漏洞的详细信息,以及提供减灾建议。

The decision to announce the research findings was intended to encourage remediation of the vulnerabilities prior to Election Day. Cylance 公开了一种投票机漏洞 4 天前选举

[剑客-翻译]

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址