OmniBallot是美国几十个司法管辖区都在使用的选举软件。除了递送选票和帮助选民标记选票外，它还包括一个在线投票的选项。至少有三个州，西弗吉尼亚州、特拉华州和新泽西州已经或计划在即将举行的选举中使用该技术。俄勒冈州和华盛顿州的四个地方司法管辖区也使用在线投票功能。但麻省理工学院的迈克尔-斯佩克特和密歇根大学的亚历克斯-哈尔德曼这对计算机科学家的新研究发现，该软件安全保护措施不足，对选举的完整性造成了严重的风险。

OmniBallot背后的公司Democracy Live在给Ars Technica的邮件回复中为其软件辩护。Democracy Live首席执行官Bryan Finney写道：”报告没有发现OmniBallot的任何技术漏洞”。从某种意义上来说，这是真的，研究人员并没有在OmniBallot代码中发现任何重大漏洞。但这也忽略了他们分析的重点。软件的安全性不仅取决于软件本身，还取决于系统运行环境的安全性。例如，如果投票软件运行在被恶意软件感染的电脑上，就不可能保证投票软件的安全。而在美国，有数百万台电脑被恶意软件感染。

这个问题现在特别紧迫，因为正在进行的COVID-19大流行迫使选举官员对选举程序作出重大改变。目前，大多数使用OmniBallot软件的司法管辖区都没有使用其 “电子选票传递 “功能。但启用该功能只需更改配置即可。选举官员有可能在远程投票更容易的压力下，决定在今年11月大选中启用该软件的在线投票功能。

Specter和Halderman取得了OmniBallot软件的副本，对其进行了逆向工程，然后创建了模仿真实服务器行为的新服务器软件。这使他们能够在不冒干扰真实选举的情况下对软件进行实验。他们发现，OmniBallot提供了一些不同的功能，州选举官员可以选择向选民提供。最基本的是空白选票交付功能，可向选民提供可打印出来并寄回投票站的PDF选票。各地也可提供选票标记功能，在选票打印出来之前，代选民标记。这可以让失明选民独立填写选票。它还可以防止多投，并警告选民没有投票。

但是Specter和Halderman认为这种能力会带来一些额外的风险。恶意软件可以被编程成在很短的时间内切换投票。理论上，选民应该在投递选票前检查选票是否正确，但研究表明，选民对此并不严格。霍尔德曼和其他人的一项研究发现，在一次现实的模拟选举中，只有6.6%的选民向选举监督人报告了投票的变化。

（稿源：cnBeta，封面源自 *** 。）