Tradução do post Security Analysis of the Democracy Live Online Voting System, publicado hoje no blog Schneier on Security.

*

Nova pesquisa: “Security Analysis of the Democracy Live Online Voting System“:

Resumo: a plataforma OmniBallot da Democracy Live é um sistema baseado na web para fornecimento de cédulas em branco, preenchimento de cédulas e (opcinalmente) votação online. Três estados – Delaware, West Virginia e New Jersey – anunciaram recentemente que permitirão que alguns eleitores votem online usando a OmniBallot, mas, apesar dos bem conhecidos riscos de votação pela internet, o sistema jamais foi objeto de uma análise de segurança pública e independente.

Usamos engenharia reversa no lado cliente da OmniBallot, igual à plataforma usada em Delaware, para detalhar a operação do sistema e analisar a sua segurança. Descobrimos que a OmniBallot utiliza uma abordagem simplista do voto pela internet, abordagem vulnerável à manipulação de voto – por meio de malware injetado no dispositivo de votação usado pelo eleitor, por pessoas com informações privilegiadas ou por outros atacantes – que pode comprometer a Democracy Live, Amazon, Google ou Cloudflare. Além disso, a Democracy Live, que aparentemente não tem política de privacidade, recebe informações sensíveis que permitem identificar o usuário – incluindo a identidade do eleitor, em quem ele votou e as impressões digitais do browser; essas informações podem ser usadas para direcionar propagandas políticas ou campanhas de desinformação. Mesmo quando a OmniBallot é usada para preencher cédulas a serem impressas e remetidas pelo correio, o software envia a identidade e as escolhas do eleitor para a Democracy Live, um risco de segurança desnecessário que compromete o voto secreto. Recomendamos mudanças para tornar a plataforma mais segura para o fornecimento e para o preenchimento da cédula. Entretanto, concluímos que usar a OmniBallot para o envio do voto eletrônico representa um grave risco para a segurança do processo eleitoral e pode permitir a atacantes alterarem os resultados da eleição sem serem detectados.

Link para a matéria How to protect your vote.

***