特朗普2020竞选活动通过应用程序受到攻击
在本文中,什么是網(wǎng)站星球?
在著名網(wǎng)絡(luò)安全分析師諾姆·羅滕和蘭·洛卡爾的帶領(lǐng)下,我們的安全研究團(tuán)隊(duì)最近在美國(guó)總統(tǒng)唐納德·特朗普的移動(dòng)競(jìng)選應(yīng)用程序中發(fā)現(xiàn)了一個(gè)安全漏洞。
團(tuán)隊(duì)發(fā)現(xiàn)了應(yīng)用程序各個(gè)部分的關(guān)鍵,包括其Twitter API。
特朗普應(yīng)用程序數(shù)據(jù)公開(kāi)
連任應(yīng)用程序在Android APK文件中公開(kāi)了以下信息:
Twitter應(yīng)用程序密鑰和Secrets
谷歌應(yīng)用程序密鑰
谷歌地圖密鑰
Branch。io(移動(dòng)分析)按鍵
Impact
“官方特朗普2020”應(yīng)用是為特朗普總統(tǒng)的連任競(jìng)選開(kāi)發(fā)的,可在iOS和Android上下載。該應(yīng)用程序的代碼揭示了與用戶名和密碼類似的密鑰和秘密,這些密鑰和秘密允許訪問(wèn)該應(yīng)用程序的不同部分,比如Twitter API。
雖然暴露的密鑰允許訪問(wèn)應(yīng)用程序的許多部分,但我們?cè)谡{(diào)查中得出結(jié)論,用戶帳戶仍然無(wú)法通過(guò)該漏洞訪問(wèn)。我們沒(méi)有嘗試訪問(wèn)該應(yīng)用程序上的任何用戶帳戶,因?yàn)槲覀冇X(jué)得最初的漏洞足以提醒特朗普競(jìng)選團(tuán)隊(duì)。
我們還得出結(jié)論,攻擊者仍然需要兩個(gè)額外的密鑰(未公開(kāi))才能訪問(wèn)任何用戶帳戶,包括特朗普總統(tǒng)的帳戶。
然而,惡意黑客仍然可以使用這些密鑰模擬應(yīng)用程序,甚至更糟。例如,使用分支。io密鑰,黑客可以潛在地訪問(wèn)應(yīng)用程序用戶和使用數(shù)據(jù)。
預(yù)防
通過(guò)實(shí)施更強(qiáng)大的安全實(shí)踐,可以輕松防止此類漏洞。該應(yīng)用不應(yīng)該泄露如此敏感的信息。
同時(shí),任何訪問(wèn)密鑰都應(yīng)該得到保護(hù),機(jī)密永遠(yuǎn)不能泄露。
這種暴露是顯著的,是人為錯(cuò)誤的結(jié)果。如果該應(yīng)用的開(kāi)發(fā)團(tuán)隊(duì)遵循更嚴(yán)格的協(xié)議,它本可以輕松避免。
狀態(tài)
一旦我們完全了解了該漏洞及其可能造成的潛在損害,我們就在同一天聯(lián)系了該活動(dòng)應(yīng)用程序的團(tuán)隊(duì),并將暴露情況通知了他們。這包括直接聯(lián)系特朗普?qǐng)F(tuán)隊(duì)的一些人。他們的信息安全在幾個(gè)小時(shí)內(nèi)回復(fù),我們與他們分享了該漏洞的詳細(xì)信息。
A修復(fù)程序在幾天內(nèi)發(fā)布。
什么是網(wǎng)站行星
Website Planet是網(wǎng)頁(yè)設(shè)計(jì)師、開(kāi)發(fā)者、數(shù)字營(yíng)銷人員和在線創(chuàng)業(yè)者的首要權(quán)威。我們?yōu)槿魏稳颂峁┯杏玫墓ぞ吆唾Y源,從初學(xué)者到經(jīng)驗(yàn)豐富的專業(yè)人士,我們?yōu)樽约旱恼焙驼\(chéng)實(shí)感到自豪。
我們的道德安全研究團(tuán)隊(duì)發(fā)現(xiàn)并披露了一些最具影響力的數(shù)據(jù)泄漏,這是我們?yōu)檎麄€(gè)網(wǎng)絡(luò)提供的免費(fèi)社區(qū)服務(wù)。
總結(jié)
以上是生活随笔為你收集整理的特朗普2020竞选活动通过应用程序受到攻击的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: Linode vs Microsoft
- 下一篇: 使用Omniconvert打造个性化的客