Нещодавно випущена мобільна програма Білого дому для пристроїв iOS та Android представляє значні вразливості в галузі безпеки та конфіденційності для користувачів. Хоча адміністрація Трампа просувала його як прямий зв’язок для оновлень в режимі реального часу, програма вимагає надмірних дозволів на доступ до даних, передає точні дані про місцезнаходження і включає сумнівні інтеграції сторонніх сервісів.
Збір та Відстеження Даних
Після встановлення програма запитує широкий доступ до конфіденційної інформації користувача. Це включає точне відстеження розташування, біометричні дані (відбитки пальців), мережеві підключення і навіть можливість змінювати сховище пристрою. Незалежний аналіз, включаючи декомпіляцію, проведену користувачем X @Thereallo1026, показує, що програма ділиться даними про місцезнаходження користувача кожні 4,5 push-повідомлень.
У той час як послуги OneSignal широко використовуються для таргетованої реклами, використання цих даних урядом США у додатку, який заохочує повідомлення в ICE, викликає серйозні етичні побоювання. Здатність програми відстежувати переміщення користувача без чіткого обґрунтування особливо тривожна.
Критичні Вразливості Безпеки
Архітектура безпеки програми вводить кілька критичних слабких місць:
- Залежність від Незахищеного Стороннього Хостингу: Програма завантажує вбудовані відео YouTube зі сторінки випадкового, неперевіреного користувача GitHub. Це створює єдину точку відмови, де зловмисник може впровадити шкідливий код у програму, скомпрометувавши всіх користувачів.
- Обхід Cookie та GDPR: Вбудований браузер активно видаляє запити на згоду на використання файлів cookie, банери GDPR, форми входу та платні стіни з веб-сайтів третіх осіб. Ця поведінка вказує на те, що програма ставить пріоритетом необмежене вилучення даних над згодою користувача або дотриманням законодавства.
Наслідки та Побоювання
Агресивний збір даних та недоліки безпеки програми Білого дому наголошують на ризиках неконтрольованого державного спостереження. Поєднання інвазивного відстеження та вразливостей, що експлуатуються, робить додаток основною метою для зловмисників.
Дизайн програми передбачає нехтування конфіденційністю та безпекою користувачів, віддаючи пріоритет збору даних над відповідальними методами розробки.
Користувачі, які завантажили програму, повинні знати про ці ризики та розглянути можливість його негайної деінсталяції. Додаток є повчальним прикладом того, як погано спроектовані державні програми можуть скомпрометувати дані користувачів і цілісність пристрою.
