Команда исследователей провела атаку на легально приобретенную через интернет машину для голосования Sequoia AVC Advantage. Такие машины практически полностью используются для подсчета голосов в штате Нью-Джерси, а кроме того помогают проводить голосование в Луизиане, Пенсильвании, Висконсине, Колорадо и Виржинии.
Без доступа к исходным кодам ученым удалось осуществить сначала перенос на другую платформу аппаратного обеспечения, а затем проделать то же самое и с программным обеспечением, проанализировав ROM устройства.
Представитель Sequoia в ответ на просьбу прокомментировать результаты исследования ответила, что ничего не знает об этой работе.
Примененный специалистами метод, известный как возвратно-ориентированное программирование, уже использовался для преодоления мер защиты, встроенных в операционные системы Linux и OpenBSD.
Sequoia запрограммирована таким образом, что может выполнять код лишь с доступных только для чтения чипов памяти, которые очень трудно устанавливать и снимать. Полностью запретив выполнение кода из RAM, разработчики надеялись предотвратить возможность инъекции вредоносного кода, способного исказить результаты голосования или нарушить его тайну.
При возвратно-ориентированном программировании вредоносный код не пишется с нуля, вместо этого атакующие используют программные выражения, уже найденные в программном обеспечении, ставшем мишенью атаки таким образом, что в итоге получают полный контроль над системой. Это напоминает ситуацию, при которой похитители составляют текст письма близким жертвы, используя буквы, вырезанные из газет.