La aplicación "Oficial Trump 2020" se desarrolló para la campaña de reelección del presidente Trump, disponible para descargar en iOS y Android. El código de la aplicación revelaba claves y secretos, similares a los nombres de usuario y contraseñas, que daban acceso a diferentes partes de la aplicación, como su API de Twitter.
Si bien las claves expuestas permitieron el acceso a muchas partes de la aplicación, se concluyo en la aplicacion compartida con Seguridad y Firewall que las cuentas de usuario permanecieron inaccesibles a través de esta vulnerabilidad. No se intento acceder a ninguna cuenta de usuario en la aplicación, ya que la vulnerabilidad inicial era suficiente para alertar a la campaña de Trump.
También se concluyo que un atacante aún necesitaría dos claves adicionales (no expuestas) para acceder a cualquier cuenta de usuario, incluida, potencialmente, la del presidente Trump.
Sin embargo, un hacker malicioso aún podría usar las claves para hacerse pasar por la aplicación, y mucho peor. Por ejemplo, usando las claves branch.io, los hackers podrían potencialmente acceso a los datos de usuario aplicación y uso.
Datos de la aplicación Trump expuestos
La aplicación de reelección expuso la información a continuación en el archivo APK de Android:
- Claves y secretos de la aplicación de Twitter
- Clave de aplicaciones de Google
- Clave de mapas de Google
- Claves Branch.io (análisis móvil)
- Campaña Trump 2020 expuesta al ataque a través de la aplicación