L’élection présidentielle américaine de 2020 approche à grands pas et les deux candidats utilisent actuellement des applications mobiles comme moyen de lever des fonds et d’atteindre les électeurs potentiels. Cependant, de nouvelles recherches de L’analyste d’applications a révélé que les deux applications contiennent des failles de sécurité et des problèmes de confidentialité qui pourraient mettre les électeurs en danger.
L’application Vote Joe utilisée par la campagne présidentielle Biden 2020 s’est avérée divulguer des informations potentiellement sensibles sur les électeurs, y compris leurs affiliations politiques et leurs choix de vote passés. De plus, l’application iOS de la campagne n’a pas réussi à appliquer la vérification des e-mails, ce qui signifie que des citoyens non américains auraient pu s’inscrire et accéder à ses données.
Une fois l’application Vote Joe installée, les électeurs peuvent promouvoir la campagne auprès de leurs contacts en envoyant des messages texte promotionnels pré-saisis et ils peuvent également fournir des informations sur les utilisateurs de leurs contacts aux créateurs d’applications. Au cours de ses recherches cependant, L’analyste d’applications a constaté que n’importe qui pouvait potentiellement compromettre les données récoltées par les créateurs de l’application en créant de faux contacts avec de fausses informations dans leurs contacts.
Dans une analyse de l’application Vote Joe, L’analyste d’applications a expliqué comment la base de données des électeurs de la campagne Biden pourrait être inondée de fausses données sur les électeurs, en disant:
«Lorsqu’un utilisateur synchronise ses contacts avec l’application Vote Joe, il reçoit une entrée d’électeur correspondante de la base de données des électeurs des campagnes Biden. Les données de contact enrichissent ensuite l’entrée de la base de données et sont stockées pour aider à solliciter leur vote à l’avenir. Un problème survient lorsque le contact dans le téléphone ne correspond pas à l’électeur mais que les données continuent d’enrichir l’entrée de la base de données des électeurs. En ajoutant de faux contacts à l’appareil, un utilisateur peut les synchroniser avec de vrais électeurs. »
Sommaire
Collecte des données électorales
L’application Vote Joe contient également des registres d’inscription des électeurs accessibles au public qui sont corroborés par un service intelligent appelé Target Smart dont le produit VoterBase contient les informations de contact et de vote de plus de 191 millions d’électeurs et de 58 millions d’utilisateurs non inscrits en âge de voter. Les prédictions du service sont mises à disposition dans l’application à l’aide de son point de terminaison API.
L’analyste d’applications a découvert que le point de terminaison de l’API fournissant des informations à l’application de la campagne Biden renvoyait également des champs supplémentaires. Tous ces champs n’étaient pas visibles dans l’interface de l’application, mais les utilisateurs pouvaient trouver un moyen d’accéder aux données exclusives des électeurs de Target Smart, qui exposent les choix passés des électeurs.
L’équipe derrière l’application Vote Joe a été informée par L’analyste d’applications concernant les failles de sécurité qu’il contenait début septembre et les développeurs ont rapidement reçu un correctif pour corriger les problèmes dans la version iOS de l’application.
Alors que l’application Vote Joe contenait son ensemble de problèmes, l’application créée et distribuée par la campagne Trump 2020 également. Il a été constaté que l’application de la campagne Trump exposait des clés secrètes codées en dur pour les services Twitter et Google qu’elle utilisait en juin et en août, il a été découvert que l’application collectait de grandes quantités de données utilisateur.
Créer et distribuer une application mobile est un excellent moyen d’atteindre les électeurs et de faire passer le message d’un candidat. Cependant, collecter trop de données sur les électeurs peut mettre en danger leur vie privée tout en mettant en jeu la campagne d’un candidat comme si ces données venaient à fuir, la campagne qui les a collectées en serait responsable.
Via BleepingComputer
