Швейцарский компьютерщик Андреас Кустер обнаружил новую уязвимость в системе электронного голосования Швейцарии. Уязвимость позволяет манипулировать голосами без обнаружения и связана с реализованной в системе защитой от манипуляций с голосами даже в том случае, если компьютер избирателя заражен необнаруженным вредоносным ПО.
Защита заключается в использовании специальных кодов возврата, напечатанных на физическом листе бумаги, который избиратель получает по почте. Эти коды не известны компьютеру избирателя, что делает невозможным манипулирование голосованием с помощью вредоносных программ при условии соблюдения правильного протокола.
Однако возникает серьезная проблема, связанная с тем, что протокол, объясняющий эти меры защиты, не приводится на физическом почтовом отправлении, а доступен только в Интернете при посещении сайта электронного голосования. Если компьютер избирателя заражен вредоносным ПО, оно может представить мошеннический сайт с другим протоколом, которым можно манипулировать.
Для демонстрации этой уязвимости Кастер создал пробный вариант, подчеркивающий риск того, что вредоносное ПО может представить избирателям поддельные протоколы, позволяющие манипулировать голосами без их ведома.
Источник: Ferra