Nowo wydana aplikacja mobilna Białego Domu na urządzenia z systemem iOS i Android zawiera poważne luki w zabezpieczeniach i prywatności użytkowników. Chociaż administracja Trumpa promowała ją jako bezpośredni link do aktualizacji w czasie rzeczywistym, aplikacja wymaga nadmiernych uprawnień do transmisji danych, udostępnia dokładne dane o lokalizacji i zawiera wątpliwą integrację z usługami stron trzecich.
Gromadzenie i śledzenie danych
Po zainstalowaniu aplikacja żąda szerokiego dostępu do poufnych informacji użytkownika. Obejmuje to precyzyjne śledzenie lokalizacji, dane biometryczne (odciski palców), połączenia sieciowe, a nawet możliwość zmiany pamięci urządzenia. Niezależna analiza, w tym dekompilacja przeprowadzona przez użytkownika X @Thereallo1026, pokazuje, że aplikacja udostępnia dane o lokalizacji użytkownika co 4,5 minuty OneSignal, dostawcy usługi powiadomień push.
Chociaż usługi OneSignal są szeroko stosowane w zakresie reklam ukierunkowanych, wykorzystanie tych danych przez rząd USA w aplikacji zachęcającej do zgłaszania się do ICE budzi poważne wątpliwości etyczne. Szczególnie niepokojąca jest zdolność aplikacji do śledzenia ruchów użytkownika bez jasnego uzasadnienia.
Krytyczne luki w zabezpieczeniach
Architektura bezpieczeństwa aplikacji wprowadza kilka krytycznych słabości:
- Zależność od niezabezpieczonego hostingu strony trzeciej: Aplikacja pobiera osadzone filmy z YouTube z losowej, niezweryfikowanej strony użytkownika GitHub. Tworzy to pojedynczy punkt awarii, w którym osoba atakująca może wprowadzić do aplikacji złośliwy kod, narażając wszystkich użytkowników.
- Omijanie plików cookie i RODO: Wbudowana przeglądarka aktywnie usuwa monity o zgodę na pliki cookie, banery RODO, formularze logowania i zapory z witryn stron trzecich. To zachowanie wskazuje, że aplikacja przedkłada nieograniczone pobieranie danych nad zgodę użytkownika lub zgodność z prawem.
Implikacje i obawy
Agresywne gromadzenie danych i luki w zabezpieczeniach aplikacji Białego Domu podkreślają ryzyko niekontrolowanego nadzoru rządowego. Połączenie inwazyjnego śledzenia i możliwych do wykorzystania luk w zabezpieczeniach sprawia, że aplikacja jest głównym celem atakujących.
Projekt aplikacji nie uwzględnia prywatności i bezpieczeństwa użytkowników, stawiając gromadzenie danych ponad praktyki odpowiedzialnego programowania.
Użytkownicy, którzy pobrali aplikację, powinni być świadomi tych zagrożeń i natychmiast rozważyć jej odinstalowanie. Aplikacja służy jako przestroga przed tym, jak źle zaprojektowane aplikacje rządowe mogą zagrozić danym użytkownika i integralności urządzenia.
