在本文中,什么是网站星球?
在著名网络安全分析师诺姆·罗滕和兰·洛卡尔的带领下,我们的安全研究团队最近在美国总统唐纳德·特朗普的移动竞选应用程序中发现了一个安全漏洞。
团队发现了应用程序各个部分的关键,包括其Twitter API。
特朗普应用程序数据公开
连任应用程序在Android APK文件中公开了以下信息:
Twitter应用程序密钥和Secrets
谷歌应用程序密钥
谷歌地图密钥
Branch。io(移动分析)按键
Impact
“官方特朗普2020”应用是为特朗普总统的连任竞选开发的,可在iOS和Android上下载。该应用程序的代码揭示了与用户名和密码类似的密钥和秘密,这些密钥和秘密允许访问该应用程序的不同部分,比如Twitter API。
虽然暴露的密钥允许访问应用程序的许多部分,但我们在调查中得出结论,用户帐户仍然无法通过该漏洞访问。我们没有尝试访问该应用程序上的任何用户帐户,因为我们觉得最初的漏洞足以提醒特朗普竞选团队。
我们还得出结论,攻击者仍然需要两个额外的密钥(未公开)才能访问任何用户帐户,包括特朗普总统的帐户。
然而,恶意黑客仍然可以使用这些密钥模拟应用程序,甚至更糟。例如,使用分支。io密钥,黑客可以潜在地访问应用程序用户和使用数据。
预防
通过实施更强大的安全实践,可以轻松防止此类漏洞。该应用不应该泄露如此敏感的信息。
同时,任何访问密钥都应该得到保护,机密永远不能泄露。
这种暴露是显著的,是人为错误的结果。如果该应用的开发团队遵循更严格的协议,它本可以轻松避免。
状态
一旦我们完全了解了该漏洞及其可能造成的潜在损害,我们就在同一天联系了该活动应用程序的团队,并将暴露情况通知了他们。这包括直接联系特朗普团队的一些人。他们的信息安全在几个小时内回复,我们与他们分享了该漏洞的详细信息。
A修复程序在几天内发布。
什么是网站行星
Website Planet是网页设计师、开发者、数字营销人员和在线创业者的首要权威。我们为任何人提供有用的工具和资源,从初学者到经验丰富的专业人士,我们为自己的正直和诚实感到自豪。
我们的道德安全研究团队发现并披露了一些最具影响力的数据泄漏,这是我们为整个网络提供的免费社区服务。