Las aplicaciones presidenciales de EE. UU. De 2020 llenas de errores de seguimiento y seguridad

Se descubrió que la aplicación Vote Joe, utilizada por la campaña presidencial de Biden en 2020 para involucrar mejor a los votantes, estaba filtrando información potencialmente sensible sobre los votantes, como sus afiliaciones políticas y elecciones pasadas de votación.

La aplicación de iOS tampoco impuso la verificación por correo electrónico, lo que permitiría a cualquier persona, incluidos los ciudadanos no estadounidenses, descargar la aplicación y tener acceso a estos datos.

La aplicación Vote Joe utiliza lo que se llama "organización relacional". Los voluntarios que descarguen la aplicación pueden promocionar la campaña enviando mensajes de texto promocionales previamente mecanografiados a otras personas y proporcionando su información de contacto a los creadores de la aplicación.

Los registros de registro de votantes ya son información pública, por lo que la aplicación que proporciona acceso a ellos no es motivo de preocupación. Sin embargo, la aplicación confirmó esta información con un servicio de inteligencia. Objetivo inteligente y devolvió predicciones a través de su punto final de API, lo que puede ser problemático.

Objetivo inteligente VoterBase el producto afirma que "contiene información de contacto y sobre votaciones 191 millones de votantesy 58 millones de consumidores en edad de votar no registrados ".

¿Votaron demócratas o republicanos?

La interfaz de usuario de la aplicación solo le permite consultar los registros públicos de votantes y ver si han votado en los últimos años o no.

Sin embargo, profundizando, el investigador de aplicaciones móviles El analista de aplicaciones encontró que el punto final de la API que proporciona estos datos devuelve algunos campos adicionales.

Si bien no todos estos campos estaban visibles en la interfaz, la aplicación allanó el camino para proporcionar datos de votantes del propietario de Target Smart a cualquier persona con acceso a la aplicación (incluidos aquellos que usan una dirección de correo electrónico falsa y no verificada) . Los datos patentados expusieron específicamente las elecciones pasadas de los votantes.

Como muestra el investigador entrada en el blog, los campos "vb.vf-g ..." devolvieron las banderas "B" o "R" indicando si el votante votaría por Azul (Demócrata) o Rojo (Republicano), respectivamente, en el pasado.

Estas son predicciones, por supuesto, hechas por Target Smart y no una respuesta autorizada, pero se suponía que este tipo de información patentada no estaba disponible para nadie.

Punto final de la API de Joe Biden para la fuga de datos de la aplicación
La API de la aplicación Vote Joe filtra datos de votantes de Target Smart
Fuente: The App Analyst

"Hay información adicional oculta sobre el votante, como su fecha de nacimiento específica," voterbase_id "(un valor único para Target Smart y no una identificación oficial de votante) y algunos campos de Target Smart (con el prefijo" tsmart ") correspondientes a los votantes del Senado. , congresos y distritos internos (más campos "tsmart", continúa la publicación del blog.

¿Cargando contactos falsos?

La aplicación recopila información valiosa de sus contactos como parte de sus términos de servicio.

Pero como cualquiera puede descargar la aplicación y no existen requisitos de autenticación estrictos, cualquiera podría "contaminar" los datos recopilados por los creadores de la aplicación.

Por ejemplo, un adversario podría crear contactos falsos con información engañosa en su libreta de direcciones que, cuando se carga en la aplicación, corrompe el conjunto de datos general en el que se basa la campaña.

"Cuando un usuario sincroniza sus contactos con la aplicación Vote Joe, se le presentará una entrada de votante coincidente de la base de datos de votantes de la campaña de Biden. Los datos de contacto luego enriquecen la entrada de la base de datos y se archivan para futuras solicitudes de votación. "explica la publicación del blog, agregando más:

"Se produce un problema cuando el contacto del teléfono no coincide con el votante, pero los datos continúan enriqueciendo la entrada de la base de datos de votantes. Al agregar contactos falsos al dispositivo, el usuario puede sincronizarlos con votantes reales".

Contactos falsos de la aplicación Joe Biden
Los usuarios pueden crear contactos falsos en la libreta de direcciones para "contaminar" los datos recopilados por la aplicación.

El equipo de la aplicación Vote Joe fue informado por El analista de aplicaciones de estas fallas de seguridad el 7 de septiembre de 2020. El equipo las parcheó rápidamente en las versiones de iOS de la aplicación antes del 11 de septiembre.

Tal como lo verificó el investigador, los puntos finales de la API de la aplicación ahora devuelven información mínima sobre un votante, y la interfaz de usuario va un paso más allá hacia campos oscuros como la fecha de nacimiento del votante.

La aplicación oficial Trump 2020 también ha tenido algunos problemas

La aplicación creada y distribuida por la campaña Trump 2020 también viene con una buena cantidad de problemas.

En junio, el archivo APK de Android de la aplicación mostró claves secretas encriptadas asociadas con los servicios de Twitter y Google que utilizaba.

Y el mes pasado, se descubrió que la aplicación Trump 2020 estaba recopilando grandes cantidades de datos de usuarios, e irónicamente se involucró en lo que la orden ejecutiva presidencial prohibió TikTok.

"Los investigadores de ciberseguridad arrojaron el código fuente y lo encontraron claves de aplicaciones expuestasy la severidad de la misma seguimiento de usuarios ha sido comparado con TikTok. No hace falta decir que la aplicación ha sido examinada bastante por los investigadores de seguridad ", explicó. El analista de aplicaciones en un separado Blog mandar.

Lo que se destaca claramente en la aplicación de la campaña de Trump es, sin embargo, lo que El analista de aplicaciones él llama, su modelo de "gamificación electoral".

La aplicación ofrece premios y menciones honoríficas a los usuarios que puedan recaudar cantidades importantes de donaciones para la campaña: de sus propias donaciones o mediante referencias.

Cada dólar donado a la campaña de Trump le otorga al partidario 10 puntos. Los seguidores que obtienen más puntos se mencionan en el ranking oficial de Trump 2020.

Aplicación Trump 2020
La aplicación de la campaña Trump 2020 incentiva a los usuarios a traer donaciones recompensándolos con puntos

"El ranking actualmente enumera a Alexander F. de Illinois como el máximo anotador de las naciones con 1,106,000 puntos. Esto podría haberse logrado si la aplicación fue instalada por 11,060 amigos de Alexanders, una donación de $ 110,600 o una combinación de los dos". , El analista de aplicaciones explica.

A primera vista, estas fallas de privacidad y seguridad pueden parecer inofensivas ya que las aplicaciones de promoción de campañas políticas generalmente usan datos públicos proporcionados por el gobierno. Sin embargo, surgen complicaciones cuando las aplicaciones recopilan demasiados datos y los datos públicos se corroboran con información específica que puede predecir las elecciones de voto de las personas.

Al exponer a todos la información sobre cómo vota la gente, estos defectos comprometen la privacidad implícitamente esperada por los votantes en un proceso electoral democrático.

A menos que un desarrollador de aplicaciones pueda garantizar absolutamente la seguridad y privacidad de los datos, para empezar, puede ser una buena idea recopilar información mínima de los usuarios.

¿Qué te ha parecido?

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir