Cuidado con la app oficial de campa?a de Donald Trump 2020: No la uses

La aplicaci��n m��vil Official Trump 2020 tiene un fallo de seguridad. Y expone datos privados de usuarios.

Actualizado a 15 de junio de 2020 21:22 CEST

Que no nos cre��amos lo que sucedi�� en 2016 al ver que Donald Trump era elegido -con ayuda ilegal hacker- presidente de los Estados Unidos es un hecho palpable. Que no tiene pinta de que vaya a ser reelegido es tambi��n casi evidente, porque si en 4 a?os ha puesto en contra suya incluso a sus asesores y se ha cargado Estados Unidos, da miedo pensar qu�� har�� si vuelve a seguir en la silla otro mandato.

Official Trump 2020 Campaign App

Pero es Trump, y se presentar�� a la Reelecci��n en la carrera a las Elecciones Presidenciales USA 2020. La pandemia global del Coronavirus ha trastocado todos los planes a nivel global, pero el proceso electoral estadounidense tiene una cita el 3 de noviembre de 2020 para votar a su pr��ximo presidente.

Trump ya ha empezado con la campa?a pol��tica promocional de reelecci��n -todo presidente de EEUU puede cumplir hasta 2 mandatos-, y uno de los mejores medios para promocionarse es el smartphone. Por ello, el equipo de campa?a de Trump lanz�� el pasado abril la aplicaci��n Official Trump 2020 Campaign App, que se puede descargar en m��viles Android e iOS, y que entre sus funciones se cuentan:

?- Recibir las ��ltimas noticias sobre la campa?a de reelecci��n del presidente

- Un sistema de registro para acudir a los m��tines de Trump

- Un sistema de registro para votar

- Un calendario para saber las fechas en las que el mandatario visitar�� una zona cercana a la del usuario/a de la app.?

Pero os aconsejamos que no lo hag��is, nosotros y el equipo de analistas de ciberseguridad encabezados por Noam Rotem y Ran Locar, que han descubierto en la app un agujero de seguridad.

App Trump 2020 insegura

Seg��n el informe de los expertos, el c��digo de la aplicaci��n revel�� claves y secretos, similares a nombres de usuario y contrase?as, que daban acceso a diferentes partes de la aplicaci��n, como su API de Twitter y otras de Google. Aunque si bien las claves expuestas permit��an el acceso a muchas partes de la aplicaci��n, ��en nuestra investigaci��n concluimos que las cuentas de usuario segu��an siendo inaccesibles a trav��s de esta vulnerabilidad��.

El equipo no intent�� acceder a ninguna cuenta de usuario de la aplicaci��n, ya que consider�� que la vulnerabilidad inicial era suficiente para alertar a la campa?a Trump. Los expertos se?alan que un atacante seguir��a necesitando dos claves adicionales (no expuestas) para acceder a cualquier cuenta de usuario, incluida, potencialmente, la del Presidente Trump.

Pero sin embargo la vulnerabilidad est�� ah��, y puede ser aprovechada. El informe deja claro que ��un hacker malicioso podr��a seguir utilizando las claves para hacerse pasar por la aplicaci��n, y mucho peor. Por ejemplo, utilizando las claves de branch.io, los hackers podr��an acceder potencialmente a los datos de usuario y de uso de la aplicaci��n��.

Por ello, y hasta que el equipo de Trump la resuelva -que dado el mandato de su presidente es capaz de dejar la aplicaci��n tal cual-, lo recomendable es que no se descargue. La Official Trump 2020 app lleva publicada desde abril pasado, con una cantidad de 100.000 descargas entre Android e iOS.