特朗普2020竞选活动通过应用程序受到攻击

在本文中,什么是网站星球?

在著名网络安全分析师诺姆·罗滕和兰·洛卡尔的带领下,我们的安全研究团队最近在美国总统唐纳德·特朗普的移动竞选应用程序中发现了一个安全漏洞。

团队发现了应用程序各个部分的关键,包括其Twitter API。

特朗普应用程序数据公开

连任应用程序在Android APK文件中公开了以下信息:

Twitter应用程序密钥和Secrets
谷歌应用程序密钥
谷歌地图密钥
Branch。io(移动分析)按键

Trump 2020 Campaign Exposed to Attack via AppTrump 2020 Campaign Exposed to Attack via App

Impact

“官方特朗普2020”应用是为特朗普总统的连任竞选开发的,可在iOS和Android上下载。该应用程序的代码揭示了与用户名和密码类似的密钥和秘密,这些密钥和秘密允许访问该应用程序的不同部分,比如Twitter API。

虽然暴露的密钥允许访问应用程序的许多部分,但我们在调查中得出结论,用户帐户仍然无法通过该漏洞访问。我们没有尝试访问该应用程序上的任何用户帐户,因为我们觉得最初的漏洞足以提醒特朗普竞选团队。

我们还得出结论,攻击者仍然需要两个额外的密钥(未公开)才能访问任何用户帐户,包括特朗普总统的帐户。

然而,恶意黑客仍然可以使用这些密钥模拟应用程序,甚至更糟。例如,使用分支。io密钥,黑客可以潜在地访问应用程序用户和使用数据。

预防

通过实施更强大的安全实践,可以轻松防止此类漏洞。该应用不应该泄露如此敏感的信息。

同时,任何访问密钥都应该得到保护,机密永远不能泄露。

这种暴露是显著的,是人为错误的结果。如果该应用的开发团队遵循更严格的协议,它本可以轻松避免。

状态

一旦我们完全了解了该漏洞及其可能造成的潜在损害,我们就在同一天联系了该活动应用程序的团队,并将暴露情况通知了他们。这包括直接联系特朗普团队的一些人。他们的信息安全在几个小时内回复,我们与他们分享了该漏洞的详细信息。

A修复程序在几天内发布。

什么是网站行星

Website Planet是网页设计师、开发者、数字营销人员和在线创业者的首要权威。我们为任何人提供有用的工具和资源,从初学者到经验丰富的专业人士,我们为自己的正直和诚实感到自豪。

我们的道德安全研究团队发现并披露了一些最具影响力的数据泄漏,这是我们为整个网络提供的免费社区服务。

Published by

风君子

独自遨游何稽首 揭天掀地慰生平

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注