US-Präsident: Trumps Wahlkampagne 2020 über Apps angreifbar

[English]Zur Unterstützung seiner Wiederwahl hat US-Präsident Donald eine App 'Official Trump 2020' entwickeln lassen. Diese besitzt aber massive Sicherheitslücken und ist angreifbar.


Anzeige

Die Information ist mir über Sicherheitsforscher, die für Website Planet arbeiten, zugegangen. Die Sicherheitsforscher um Noam Rotem und Ran Locar haben sich die App näher angesehen und entdeckte kürzlich eine Sicherheitslücke in der mobilen Kampagnen-App von US-Präsident Donald Trump.

Der Zweck der App

Die App "Official Trump 2020" wurde für die Wiederwahlkampagne von Präsident Trump entwickelt und steht auf iOS und Android zum Herunterladen zur Verfügung. Interessierte können sich über diese App Informationen zum derzeitigen US-Präsidenten anzeigen lassen.

Das Problem der App: Schlüssel werden offen gelegt

Bei der Analyse der App fand das Sicherheitsteam die Schlüssel zu verschiedenen Teilen der App, einschließlich ihrer Twitter-API, in der APK-Datei. Die App 'Official Trump 2020' enthält folgende sensitive Informationen in der betreffenden Datei:

  • Twitter Application-Keys und Secrets
  • Google Apps Key
  • Google Maps Key
  • Branch.io (mobile Analytics) Keys

API-Keys in APK
(API-Keys im Klartext in der APK, Zum Vergrößern klicken)

Der Code der App enthüllte diese privaten Schlüssel und andere Geheiminformationen, ähnlich wie Benutzernamen und Passwörter, die Zugang zu verschiedenen Teilen der App, wie z.B. der Twitter-API, ermöglichten.

Wer über diese Schlüssel verfügt, kann z.B. auf die betreffenden Online-Konten (z.B. Twitter) zugreifen und sich als App ausgeben, um dort Informationen unter diesem Konto posten.

Die Sicherheitsforscher schreiben, dass bei der Analyse der App nicht versucht wurde, über diese Schwachstellen auf die Benutzerkonten zuzugreifen. Man kam bei einer ersten Analyse zum Schluss, dass trotz der offengelegten Schlüssel zwei weitere (unbekannte) Schlüssel erforderlich seien, um auch Benutzerkonten zu kompromittieren. Die Offenlegung der Keys war schon alarmierend genug, um die Entwickler der App zu kontaktieren. Diese Art der Informationsoffenlegung hätte bei Anwendung bestimmter Sicherheitspraktiken verhindert werden können.

Die Sicherheitsforscher gehen aber davon aus, dass böswillige Angreifer immer noch die Schlüssel benutzen könnte, um sich als die App auszugeben. Dann könnten Hacker unter Verwendung der branch.io-Schlüssel potenziell auf Benutzer- und Nutzungsdaten der Anwendung zugreifen.

Trump-Team informiert

Sobald die Sicherheitsforscher die Schwachstellen entdeckt und die möglichen Implikationen überblickt haben, verständigten sie unverzüglich das Trump-Kampagnen-Team. Zumindest hat der InfoSec-Verantwortliche binnen Stunden geantwortet und nach Details zur Schwachstelle gefragt. Mit den Informationen der Sicherheitsforscher konnten die Schwachstellen binnen weniger Tage beseitigt werden. Der Bericht der Sicherheitsforscher lässt sich auf der Website Planet-Webseite hier abrufen.


Anzeige

Website Planet ist die führende Autorität für Webdesigner, Entwickler, digitale Vermarkter und Unternehmer mit einer Online-Präsenz. Die Betreiber bieten nützliche Tools und Ressourcen für jeden, vom Anfänger bis zum erfahrenen Profi. Dazu gehören auch Einsätze von Sicherheitsteams zur Aufdeckung von Schwachstellen und Datenlecks. Die Leute arbeiten auch unter dem Namen vpnMentor und wurden in diversen Blog-Beiträgen referenziert.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter App, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu US-Präsident: Trumps Wahlkampagne 2020 über Apps angreifbar

  1. 1ST1 sagt:

    Die deutsche Corona-App ist auch schon verfügbar.

    Aber schade, dass das Trump-Team vor diesen Lücken gewarnt wurde, lustiger wäre gewesen, die Sicherheitsforscher hätten das für sich behalten oder in 4Chan, Reddit oder so gepostet.

  2. Herr IngoW sagt:

    Hat Trump dieses Machwerk selbst finanziert oder hat der Amerikanische Steuerzahler da reichlich zu einer weiteren Verschwendung beigetragen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.