App per il voto su Blockchain? Non sono sicure, lo dice il MIT

I sistemi di voto basati su Blockchain potrebbero non essere così sicuri come inizialmente sperato, nonostante la natura decentralizzata di questa tecnologia. È quanto hanno rilevato gli ingegneri del MIT analizzando alcune delle applicazioni già disponibili a questo scopo: almeno a livello teorico, malintenzionati potrebbero avere accesso alle operazioni di voto, manipolandole potenzialmente a loro gradimento.

Gli esperti del MIT hanno testato a fondo l'applicazione Voatz, lanciata nel 2016 e disponibile per piattaforme Android. Nonostante il sistema di voto sia basato sulla Blockchain, i ricercatori hanno scoperto che eventuali malintenzionati potrebbero sfruttare alcune vulnerabilità per osservare, sopprimere o alterare le operazioni di voto.

Non è però tutto, così come spiega The Verge in un breve approfondimento: se un malintenzionato dovesse riuscire a compromettere i server che gestiscono le API del servizio, potrebbe alterare le urne digitali - se così le si può definire - in tempo reale, quindi riducendo al minimo la possibilità che eventuali enti di controllo possano accorgersene tempestivamente e provvedere.

Secondo il MIT, la tecnologia non sarebbe sufficientemente matura per poter essere sfruttata durante le elezioni, proprio in quanto vulnerabile e non sicura dal punto di vista della privacy:

Data la severità delle vulnerabilità individuate, la mancanza di trasparenza, i rischi per la privacy degli utenti e la natura banale degli attacchi, suggeriamo che venga abbandonato qualsiasi piano di breve periodo per usare simili App nelle tornate elettorali.

Voatz è già stata impiegata, così come spiega The Verge, in alcune elezioni minori degli Stati Uniti, ad esempio con la raccolta di 150 voti per le elezioni generali in Virginia nel 2018. Voatz si è però opposta alle rilevazioni del MIT, tramite un intervento sul blog ufficiale, sottolineando come i metodi di ricerca scelti siano "errati".

In particolare, gli ingegneri avrebbero fatto ricorso a versioni non aggiornate dell'applicazione per Android e, non ultimo, non avrebbero avanzato dei tentativi di connessione agli stessi server di Voatz.

Questo approccio fallace invalida ogni affermazione relativa alla loro capacità di compromettere il sistema nel suo complesso.

A questa affermazione si è aggiunto Nimit Sawhney, il CEO dell'azienda:

Tutte le loro affermazioni sono basate sull'idea che, siccome sono stati in grado di compromettere un device, allora saranno in grado anche di compromettere il server. Questo assunto è del tutto fallace.

In attesa di un'eventuale risposta del MIT, Voats ha confermato di avere avviato un bug bounty program e servizi di review continuativa del codice, per garantire la massima sicurezza. La questione rimane però aperta: siamo davvero pronti per abbandonare carta e matita per passare alle tecnologie digitali? Sono sufficientemente affidabili per garantire che il diritto di voto non venga calpestato?