[peterso]

請大家一齊去呢個網

只係幾分鐘，就可以做少少野，拯救香港

https://cast.popvote.hk/

已投長毛

[mtr]

https://www.facebook.com/FrontlineTechW ... 1555819240

"前線科技人員" FB
February 8 at 12:15pm


【有關民間特首提名 PopVote 之安全性意見】

PopVote 系統已作出若干更改，包括（但不只限於）在投票後自動 logout session。詳情請參閱 https://civicsq.com/t/popvote-04-51-8-feb/532

對於是否參與是次投票，我們認為使用者應該考慮以下風險：

雖然 PopVote 系統暫時未有被攻擊的跡象，但假如 PopVote 網頁日後不幸被黑客入侵，理論上黑客可以更改投票網頁的程式，盜取投票者的 Telegram authorization code (OTP) 及雙重認證密碼，如此一來，黑客就可以登入使用者的 Telegram 戶口，讀取他過去所有的信息（secret chat 除外），及冒充使用者的身份發出訴息給其他人。

如果閣下使用 Telegram 作機密用途，我們建議閣下不要用該電話號碼參與是次投票。

即使閣下的 Telegram 並非用作機密用途，我們仍然建議使用者在投票前先暫停雙重認證，並於投票後重啟。或於投票後更改雙重認證的密碼。

與此同時，請各位密切留意有關PopVote方面發佈的最新消息。

[Siu]

[mtr]

技術文，小弟會加多條問題：何以硬性規定用 telegram 認証投票人身份？用 gmail，FB 之類支援 Oauth protocol 獲取 access token 認証相比不夠用 telegram 安全 ?

http://news.mingpao.com/pns/dailynews/w ... 6835530770

我應該用Telegram參與「2017特首民投」嗎？

【明報專訊】

■答﹕趙智勳，國際電腦公司的高級系統顧問；「公民數據」發言人。有份開發「雷動聲吶」Telegram程式及「2017特首選舉民間全民投票」PopVote程式

■問﹕Melody，民間記者

問﹕為什麼投票程式擅自替我開了Telegram戶口？

答﹕因為你要有Telegram戶口才能投票，所以程式會替你開設戶口，但就不會強行下載Telegram App到你電話中。

如果你本身不是用戶，Telegram已設定了6個月內你沒有動靜去連接，就會自動刪除戶口；你也可以自行從Telegram手機程式刪除戶口。

問﹕投票程式要求我輸入密碼或是認證碼。程式拿到密碼或認證碼後，是否便進入了我的Telegram，會看到我和他人的對話？

答﹕不會。正如訪問所說，投票程式並不會「攞你條匙」，只會要求你掏出門匙來用，而且你與門之間沒有其他人。當你使用密碼登入Telegram時，表面上看起來是PopVote投票App，但包裝下其實是官方的web.telegram.org程式碼。投票程式並不會傳送或儲存你的認證碼到PopVote投票系統中。

因此，投票程式不會拿到你的密碼或認證碼，只會要求你輸入來開門。密碼是一次性的，沒有其他人能用。完成投票後，程式會自動及強行登出。

問﹕你說得如此安全，為什麼保安事故協調中心仍然發出通告，叫人不要使用投票程式？

答﹕保安事故協調中心通告主要是說，如果有壞人假扮PopVote投票程式，套取了你的Telegram登入資料，壞人就能取得你的對話紀錄和聯絡人清單，情况如假扮銀行的「釣魚網站」。除了假扮投票程式，另一可能是投票程式被人「加料」，在你登入Telegram之後，背後傳送資料到其他地方。

這兩個可能性都很低，但當然是還有可能，正如你使用銀行的網頁，也可能會遇上「釣魚網站」。

問﹕但我把條匙掏出來用，仍然有可能被「強力部門」見到和強搶？「強力部門」也可能有能力扮成投票程式向我「釣魚」，又或者修改投票結果？

答﹕如訪問所說，「袋住條匙落街買嘢」的確也有風險，條匙有可能丟了在街上，這個風險大家要衡量是否可以接受。

但要入侵系統改動或偷取數據就相當難。黑客首先要知道系統位置，而PopVote系統採用雲端技術，前台的網站有CloudFlare保護。至於後台的數據儲存系統，是散佈於全世界數據中心之中運作和備份，只有Telegram才知道PopVote後台系統的確實位置，難以定位。

黑客入侵系統後，還要面對解密問題。系統把數據庫中儲存的每個市民的電子選票，都逐一做了加密處理。解密鑰匙分別由3名指定的非技術人員持有，儲存在USB記憶棒中。黑客除了入侵系統，還必須得到該記憶棒和解密鑰匙，才能盜取資料，也難以修改或破壞電子選票。

新系統還準備加入子區塊鏈（Blockchain）技術和離散式儲存（Distributed File System）技術，加密的選票會分散儲存於雲端，並以電子簽署將「聰明合約」（Smart Contract）技術送入Bitcoin區塊鏈中。將來即使整個PopVote系統被攻破，仍可在雲端取回投票結果，並以區塊鏈中的電子簽署判別電子選票的真確性。

黑客若要修改電子選票或破壞投票紀錄，不單要入侵得手，還要強行修改雲端儲存和強行修改Bitcoin區塊鏈上的聰明合約，其難度非常高，需要取得全球Bitcoin區塊鏈網絡50%以上的運算力量才能辦到。

問﹕上次投票用SMS不是「好地地」嗎？為什麼今次要轉用Telegram和認證碼？

答﹕在本地收發SMS成本約是每條0.2元至1元。如果有100萬人投票，每次投票的社會成本需要數十萬元。2014年的PopVote系統使用SMS，效果很不錯，但電訊商需收取數以十萬元計的開發費用，而且有使用時限，而公投議題敏感，電訊商取態未明。

[mtr]

https://www.facebook.com/FrontlineTechW ... 22/?type=3

PopVote 安全問題未解決　再發現新問題

2017/2/12 — 15:46



除了早前被發現的嚴重的保安問題和資料外洩風險 [1] 外，前線科技人員的團隊經過調查，昨日再發現 PopVote 系統存在其他的保安和設計漏洞，已即時通知 PopVote 普及投票及負責系統技術的 Civic Data 公民數據的負責人，該漏洞增加資料外洩的機會和影響投票可信性。


登入憑證外洩風險

PopVote 把用戶的 Telegram 登入憑證（Session Authentication Key）存放在瀏覽器的本地儲存（local Storage）內，即使關閉瀏覽器或重新啓動電腦，該登入憑證不會被清除而且繼續有效。該瀏覽器的任何使用者，例如公共圖書館或學校的公用電腦的其他用戶，可以取得這個憑證，登入該用戶的 Telegram 戶口，存取該用戶的所有通話記錄及收發新訊息。

該系統在2月8日的更新中修正了投票程序完成後未有登出 Telegram 的問題。這個修正本應能減低上述漏洞的影響，可是我們發現這個修正未有妥善處理用戶未完成投票程序時的情況。如果用戶沒有完成投票程序，就算關閉瀏覽器，重開後仍然保持登入。故此，用戶仍然可以因為這個漏洞而被竊取 Telegram 戶口。


投票結果可信性

在 2012 和 2014 年的民間投票當中，系統要求用戶以香港網絡登入，並且使用本地電話號碼透過短訊（SMS）確認。這個設計的原意是確保只有香港居民才能參與投票，並且增加種票的成本。

然而，新的 PopVote 系統改為以 Telegram 登入後，取消了只限本地網絡的規定。雖然系統要求用戶填寫本地電話號碼登入 Telegram，我們卻發現 PopVote 存在明顯的設計漏洞，以致未能有效防止其他國家的電話登入投票。利用這個漏洞，前線科技人員成功在海外以外國電話投票。

這個漏洞令種票成本下降，減低投票結果的可信性。


電話和身份證號碼外洩風險

PopVote 在他們的聲明 [2] 和 Q&A [3] 中聲稱用戶的身分證和電話號碼會在客戶端「產生散列（hash value）」，用戶的個人資料「絕不會直接傳給 PopVote 後台系統」，「不論是 PopVote 系統還是駭客，都極難還原成有用的資料」。

我們的團隊發現，該系統在客戶端所用的散列算法（hash function）是單純的 SHA256。SHA256 本身是安全的，可是 PopVote 在使用該算法時未有留意輸入的資料本身的組合有限。我們的實驗顯示，根本無需破解散列算法，只需十分鐘就能製作所有香港身分證和電話號碼「散列」的對照表。任何人（包括 PopVote）只須持有該對照表，便能即時解讀任何「散列」所代表的個人資料。

這個問題本身並非安全漏洞，可是從 PopVote 的系統設計，以至團隊的對外宣傳當中，顯示出團隊對加密算法的特性以及資訊安全缺乏認知，使我們對 PopVote 團隊是否有能力合理地保障用戶的敏感訊息抱有疑問。


建議

基於之前所發現的嚴重保安漏洞仍未修正，我們維持之前的建議，呼籲市民立即停用該系統。

任何曾經使用該系統的市民，應了解基於之前發現的嚴重保安漏洞而引致的通訊紀錄外洩風險，並採取適當措施保護各下的資訊安全 [1]。

對於所有依賴 PopVote 普及投票結果或對結果進行分析的市民，請留意雖然該系統要求用戶填寫本地電話號碼和通過短訊確認，該系統並未能保證投票人持有或控制一個本地電話號碼，投票結果的可信性可能受影響。

對於 PopVote 普及投票，我們認為對方未有妥善考慮公眾安全，而且對結果的可信性有疑問。前線科技人員團隊、曾參與 2012 和 2014 民間投票系統設計和審核的工程師、資訊安全專家等，於系統開放的第一天起已經和他們進行多場會議，指出問題並提出協助。然而，PopVote 團隊及其負責人不但未有認真回應各項安全和設計上的漏洞，反而不斷接受傳媒訪問，以技術語言隱瞞問題，讓大眾誤以為漏洞已處理。我們對 PopVote 團隊及其負責人處理用戶安全的輕率態度感到失望。


盡責披露

我們已在發佈上述漏洞和風險前一天通知 PopVote 普及投票及 Civic Data 公民數據負責人。


參考文件

[1] 香港電腦保安事故協調中心《對 PopVote 普及投票系統資訊保安問題的建議》

https://www.hkcert.org/my_url/zh/blog/17020901

[2] 普及投票《個人資料收集聲明》

https://cast.popvote.hk/#/pics

[3] 公民數據《保安疑問 Q&A》

https://www.facebook.com/CivicDataHK/po ... 8089597738

[imcoke]

hacker 唔係hack telegram
(不過肯定 會有hacker 搞 telegram)
係hack 個中介站

都唔緊要
不過又要電話
身份證都好似要
如真係要就.....

[peterso]

hacker 唔係hack telegram
(不過肯定 會有hacker 搞 telegram)
係hack 個中介站

都唔緊要
不過又要電話
身份證都好似要
如真係要就.....

身份證同名可以亂填，係要用真電話

[imcoke]

hacker 唔係hack telegram
(不過肯定 會有hacker 搞 telegram)
係hack 個中介站

都唔緊要
不過又要電話
身份證都好似要
如真係要就.....

身份證同名可以亂填，係要用真電話

買太空卡