US-Präsident: Trumps Wahlkampagne 2020 über Apps angreifbar

[English]Zur Unterstützung seiner Wiederwahl hat US-Präsident Donald eine App 'Official Trump 2020' entwickeln lassen. Diese besitzt aber massive Sicherheitslücken und ist angreifbar.

Die Information ist mir über Sicherheitsforscher, die für Website Planet arbeiten, zugegangen. Die Sicherheitsforscher um Noam Rotem und Ran Locar haben sich die App näher angesehen und entdeckte kürzlich eine Sicherheitslücke in der mobilen Kampagnen-App von US-Präsident Donald Trump.

Der Zweck der App

Die App "Official Trump 2020" wurde für die Wiederwahlkampagne von Präsident Trump entwickelt und steht auf iOS und Android zum Herunterladen zur Verfügung. Interessierte können sich über diese App Informationen zum derzeitigen US-Präsidenten anzeigen lassen.

Das Problem der App: Schlüssel werden offen gelegt

Bei der Analyse der App fand das Sicherheitsteam die Schlüssel zu verschiedenen Teilen der App, einschließlich ihrer Twitter-API, in der APK-Datei. Die App 'Official Trump 2020' enthält folgende sensitive Informationen in der betreffenden Datei:

• Twitter Application-Keys und Secrets
• Google Apps Key
• Google Maps Key
• Branch.io (mobile Analytics) Keys

(API-Keys im Klartext in der APK, Zum Vergrößern klicken)

Der Code der App enthüllte diese privaten Schlüssel und andere Geheiminformationen, ähnlich wie Benutzernamen und Passwörter, die Zugang zu verschiedenen Teilen der App, wie z.B. der Twitter-API, ermöglichten.

Wer über diese Schlüssel verfügt, kann z.B. auf die betreffenden Online-Konten (z.B. Twitter) zugreifen und sich als App ausgeben, um dort Informationen unter diesem Konto posten.

Die Sicherheitsforscher schreiben, dass bei der Analyse der App nicht versucht wurde, über diese Schwachstellen auf die Benutzerkonten zuzugreifen. Man kam bei einer ersten Analyse zum Schluss, dass trotz der offengelegten Schlüssel zwei weitere (unbekannte) Schlüssel erforderlich seien, um auch Benutzerkonten zu kompromittieren. Die Offenlegung der Keys war schon alarmierend genug, um die Entwickler der App zu kontaktieren. Diese Art der Informationsoffenlegung hätte bei Anwendung bestimmter Sicherheitspraktiken verhindert werden können.

Die Sicherheitsforscher gehen aber davon aus, dass böswillige Angreifer immer noch die Schlüssel benutzen könnte, um sich als die App auszugeben. Dann könnten Hacker unter Verwendung der branch.io-Schlüssel potenziell auf Benutzer- und Nutzungsdaten der Anwendung zugreifen.

Trump-Team informiert

Sobald die Sicherheitsforscher die Schwachstellen entdeckt und die möglichen Implikationen überblickt haben, verständigten sie unverzüglich das Trump-Kampagnen-Team. Zumindest hat der InfoSec-Verantwortliche binnen Stunden geantwortet und nach Details zur Schwachstelle gefragt. Mit den Informationen der Sicherheitsforscher konnten die Schwachstellen binnen weniger Tage beseitigt werden. Der Bericht der Sicherheitsforscher lässt sich auf der Website Planet-Webseite hier abrufen.

Website Planet ist die führende Autorität für Webdesigner, Entwickler, digitale Vermarkter und Unternehmer mit einer Online-Präsenz. Die Betreiber bieten nützliche Tools und Ressourcen für jeden, vom Anfänger bis zum erfahrenen Profi. Dazu gehören auch Einsätze von Sicherheitsteams zur Aufdeckung von Schwachstellen und Datenlecks. Die Leute arbeiten auch unter dem Namen vpnMentor und wurden in diversen Blog-Beiträgen referenziert.