{"id":232635,"date":"2020-06-16T00:02:00","date_gmt":"2020-06-15T22:02:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=232635"},"modified":"2020-06-17T22:27:36","modified_gmt":"2020-06-17T20:27:36","slug":"us-prsident-trumps-wahlkampagne-2020-ber-apps-angreifbar","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/06\/16\/us-prsident-trumps-wahlkampagne-2020-ber-apps-angreifbar\/","title":{"rendered":"US-Pr&auml;sident: Trumps Wahlkampagne 2020 &uuml;ber Apps angreifbar"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/?p=14764\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Zur Unterst\u00fctzung seiner Wiederwahl hat US-Pr\u00e4sident Donald eine App 'Official Trump 2020' entwickeln lassen. Diese besitzt aber massive Sicherheitsl\u00fccken und ist angreifbar.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/4add8eee330841a0bf64861859345281\" alt=\"\" width=\"1\" height=\"1\" \/>Die Information ist mir \u00fcber Sicherheitsforscher, die f\u00fcr Website Planet arbeiten, zugegangen. Die Sicherheitsforscher um Noam Rotem und Ran Locar haben sich die App n\u00e4her angesehen und entdeckte k\u00fcrzlich eine Sicherheitsl\u00fccke in der mobilen Kampagnen-App von US-Pr\u00e4sident Donald Trump.<\/p>\n<h2>Der Zweck der App<\/h2>\n<p>Die App \"Official Trump 2020\" wurde f\u00fcr die Wiederwahlkampagne von Pr\u00e4sident Trump entwickelt und steht auf iOS und Android zum Herunterladen zur Verf\u00fcgung. Interessierte k\u00f6nnen sich \u00fcber diese App Informationen zum derzeitigen US-Pr\u00e4sidenten anzeigen lassen.<\/p>\n<h2>Das Problem der App: Schl\u00fcssel werden offen gelegt<\/h2>\n<p>Bei der Analyse der App fand das Sicherheitsteam die Schl\u00fcssel zu verschiedenen Teilen der App, einschlie\u00dflich ihrer Twitter-API, in der APK-Datei. Die App 'Official Trump 2020' enth\u00e4lt folgende sensitive Informationen in der betreffenden Datei:<\/p>\n<ul>\n<li>Twitter Application-Keys und Secrets<\/li>\n<li>Google Apps Key<\/li>\n<li>Google Maps Key<\/li>\n<li>Branch.io (mobile Analytics) Keys<\/li>\n<\/ul>\n<p><a href=\"https:\/\/i.imgur.com\/j3wrJXs.jpg\" target=\"_blank\" rel=\"noopener noreferrer\"><img loading=\"lazy\" decoding=\"async\" title=\"API-Keys in APK\" src=\"https:\/\/i.imgur.com\/j3wrJXs.jpg\" alt=\"API-Keys in APK\" width=\"629\" height=\"91\" \/><\/a><br \/>\n(API-Keys im Klartext in der APK, Zum Vergr\u00f6\u00dfern klicken)<\/p>\n<p>Der Code der App enth\u00fcllte diese privaten Schl\u00fcssel und andere Geheiminformationen, \u00e4hnlich wie Benutzernamen und Passw\u00f6rter, die Zugang zu verschiedenen Teilen der App, wie z.B. der Twitter-API, erm\u00f6glichten.<\/p>\n<p>Wer \u00fcber diese Schl\u00fcssel verf\u00fcgt, kann z.B. auf die betreffenden Online-Konten (z.B. Twitter) zugreifen und sich als App ausgeben, um dort Informationen unter diesem Konto posten.<\/p>\n<blockquote><p>Die Sicherheitsforscher schreiben, dass bei der Analyse der App nicht versucht wurde, \u00fcber diese Schwachstellen auf die Benutzerkonten zuzugreifen. Man kam bei einer ersten Analyse zum Schluss, dass trotz der offengelegten Schl\u00fcssel zwei weitere (unbekannte) Schl\u00fcssel erforderlich seien, um auch Benutzerkonten zu kompromittieren. Die Offenlegung der Keys war schon alarmierend genug, um die Entwickler der App zu kontaktieren. Diese Art der Informationsoffenlegung h\u00e4tte bei Anwendung bestimmter Sicherheitspraktiken verhindert werden k\u00f6nnen.<\/p><\/blockquote>\n<p>Die Sicherheitsforscher gehen aber davon aus, dass b\u00f6swillige Angreifer immer noch die Schl\u00fcssel benutzen k\u00f6nnte, um sich als die App auszugeben. Dann k\u00f6nnten Hacker unter Verwendung der branch.io-Schl\u00fcssel potenziell auf Benutzer- und Nutzungsdaten der Anwendung zugreifen.<\/p>\n<h2>Trump-Team informiert<\/h2>\n<p>Sobald die Sicherheitsforscher die Schwachstellen entdeckt und die m\u00f6glichen Implikationen \u00fcberblickt haben, verst\u00e4ndigten sie unverz\u00fcglich das Trump-Kampagnen-Team. Zumindest hat der InfoSec-Verantwortliche binnen Stunden geantwortet und nach Details zur Schwachstelle gefragt. Mit den Informationen der Sicherheitsforscher konnten die Schwachstellen binnen weniger Tage beseitigt werden. Der Bericht der Sicherheitsforscher l\u00e4sst sich auf der <a href=\"https:\/\/www.websiteplanet.com\/blog\/trump-app-vulnerability-report\/\" target=\"_blank\" rel=\"noopener noreferrer\">Website Planet-Webseite hier abrufen<\/a>.<\/p>\n<p>Website Planet ist die f\u00fchrende Autorit\u00e4t f\u00fcr Webdesigner, Entwickler, digitale Vermarkter und Unternehmer mit einer Online-Pr\u00e4senz. Die Betreiber bieten n\u00fctzliche Tools und Ressourcen f\u00fcr jeden, vom Anf\u00e4nger bis zum erfahrenen Profi. Dazu geh\u00f6ren auch Eins\u00e4tze von Sicherheitsteams zur Aufdeckung von Schwachstellen und Datenlecks. Die Leute arbeiten auch unter dem Namen vpnMentor und wurden in diversen Blog-Beitr\u00e4gen referenziert.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Zur Unterst\u00fctzung seiner Wiederwahl hat US-Pr\u00e4sident Donald eine App 'Official Trump 2020' entwickeln lassen. Diese besitzt aber massive Sicherheitsl\u00fccken und ist angreifbar.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1440,426],"tags":[4346,4328],"class_list":["post-232635","post","type-post","status-publish","format-standard","hentry","category-app","category-sicherheit","tag-app","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/232635","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=232635"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/232635\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=232635"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=232635"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=232635"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}