Cuidado con la app oficial de campaña de Donald Trump 2020: No la uses

Que no nos creíamos lo que sucedió en 2016 al ver que Donald Trump era elegido -con ayuda ilegal hacker- presidente de los Estados Unidos es un hecho palpable. Que no tiene pinta de que vaya a ser reelegido es también casi evidente, porque si en 4 años ha puesto en contra suya incluso a sus asesores y se ha cargado Estados Unidos, da miedo pensar qué hará si vuelve a seguir en la silla otro mandato.

Official Trump 2020 Campaign App

Pero es Trump, y se presentará a la Reelección en la carrera a las Elecciones Presidenciales USA 2020. La pandemia global del Coronavirus ha trastocado todos los planes a nivel global, pero el proceso electoral estadounidense tiene una cita el 3 de noviembre de 2020 para votar a su próximo presidente.

Trump ya ha empezado con la campaña política promocional de reelección -todo presidente de EEUU puede cumplir hasta 2 mandatos-, y uno de los mejores medios para promocionarse es el smartphone. Por ello, el equipo de campaña de Trump lanzó el pasado abril la aplicación Official Trump 2020 Campaign App, que se puede descargar en móviles Android e iOS, y que entre sus funciones se cuentan:


- Recibir las últimas noticias sobre la campaña de reelección del presidente

- Un sistema de registro para acudir a los mítines de Trump

- Un sistema de registro para votar

- Un calendario para saber las fechas en las que el mandatario visitará una zona cercana a la del usuario/a de la app.


Pero os aconsejamos que no lo hagáis, nosotros y el equipo de analistas de ciberseguridad encabezados por Noam Rotem y Ran Locar, que han descubierto en la app un agujero de seguridad.

Ampliar

App Trump 2020 insegura

Según el informe de los expertos, el código de la aplicación reveló claves y secretos, similares a nombres de usuario y contraseñas, que daban acceso a diferentes partes de la aplicación, como su API de Twitter y otras de Google. Aunque si bien las claves expuestas permitían el acceso a muchas partes de la aplicación, “en nuestra investigación concluimos que las cuentas de usuario seguían siendo inaccesibles a través de esta vulnerabilidad”.

El equipo no intentó acceder a ninguna cuenta de usuario de la aplicación, ya que consideró que la vulnerabilidad inicial era suficiente para alertar a la campaña Trump. Los expertos señalan que un atacante seguiría necesitando dos claves adicionales (no expuestas) para acceder a cualquier cuenta de usuario, incluida, potencialmente, la del Presidente Trump.

Pero sin embargo la vulnerabilidad está ahí, y puede ser aprovechada. El informe deja claro que “un hacker malicioso podría seguir utilizando las claves para hacerse pasar por la aplicación, y mucho peor. Por ejemplo, utilizando las claves de branch.io, los hackers podrían acceder potencialmente a los datos de usuario y de uso de la aplicación”.

Por ello, y hasta que el equipo de Trump la resuelva -que dado el mandato de su presidente es capaz de dejar la aplicación tal cual-, lo recomendable es que no se descargue. La Official Trump 2020 app lleva publicada desde abril pasado, con una cantidad de 100.000 descargas entre Android e iOS.