特朗普2020竞选活动通过应用程序受到攻击
在本文中,什么是網站星球?
在著名網絡安全分析師諾姆·羅滕和蘭·洛卡爾的帶領下,我們的安全研究團隊最近在美國總統唐納德·特朗普的移動競選應用程序中發現了一個安全漏洞。
團隊發現了應用程序各個部分的關鍵,包括其Twitter API。
特朗普應用程序數據公開
連任應用程序在Android APK文件中公開了以下信息:
Twitter應用程序密鑰和Secrets
谷歌應用程序密鑰
谷歌地圖密鑰
Branch。io(移動分析)按鍵
Impact
“官方特朗普2020”應用是為特朗普總統的連任競選開發的,可在iOS和Android上下載。該應用程序的代碼揭示了與用戶名和密碼類似的密鑰和秘密,這些密鑰和秘密允許訪問該應用程序的不同部分,比如Twitter API。
雖然暴露的密鑰允許訪問應用程序的許多部分,但我們在調查中得出結論,用戶帳戶仍然無法通過該漏洞訪問。我們沒有嘗試訪問該應用程序上的任何用戶帳戶,因為我們覺得最初的漏洞足以提醒特朗普競選團隊。
我們還得出結論,攻擊者仍然需要兩個額外的密鑰(未公開)才能訪問任何用戶帳戶,包括特朗普總統的帳戶。
然而,惡意黑客仍然可以使用這些密鑰模擬應用程序,甚至更糟。例如,使用分支。io密鑰,黑客可以潛在地訪問應用程序用戶和使用數據。
預防
通過實施更強大的安全實踐,可以輕松防止此類漏洞。該應用不應該泄露如此敏感的信息。
同時,任何訪問密鑰都應該得到保護,機密永遠不能泄露。
這種暴露是顯著的,是人為錯誤的結果。如果該應用的開發團隊遵循更嚴格的協議,它本可以輕松避免。
狀態
一旦我們完全了解了該漏洞及其可能造成的潛在損害,我們就在同一天聯系了該活動應用程序的團隊,并將暴露情況通知了他們。這包括直接聯系特朗普團隊的一些人。他們的信息安全在幾個小時內回復,我們與他們分享了該漏洞的詳細信息。
A修復程序在幾天內發布。
什么是網站行星
Website Planet是網頁設計師、開發者、數字營銷人員和在線創業者的首要權威。我們為任何人提供有用的工具和資源,從初學者到經驗豐富的專業人士,我們為自己的正直和誠實感到自豪。
我們的道德安全研究團隊發現并披露了一些最具影響力的數據泄漏,這是我們為整個網絡提供的免費社區服務。
總結
以上是生活随笔為你收集整理的特朗普2020竞选活动通过应用程序受到攻击的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Linode vs Microsoft
- 下一篇: 使用Omniconvert打造个性化的客