特朗普政府上周发布的白宫官方App,正在把用户的隐私数据变成一场"裸奔"。
3月28日,这款同时上线iOS和安卓平台的应用被白宫官方X账号称为"直达信源"的直播与实时更新工具。但下载页面的权限清单,比它的功能介绍长得多——精确位置、网络连接、指纹与生物识别数据、阻止设备休眠、修改或删除共享存储内容,全部需要用户授权。
位置数据每4.5分钟外泄一次
X用户@Thereallo1026对App进行反编译后发现,用户的位置信息正以4.5分钟为间隔被持续采集,并发送至第三方服务器。
接收方是OneSignal,一家提供推送通知服务的公司。OneSignal通常用位置数据做基于地理位置的营销推送。但问题在于,这款App内置了向移民与海关执法局(ICE)举报人员的功能——当政府鼓励用户举报他人时,它同时掌握着举报者本人的实时坐标。
这种数据组合的危险性,相当于给每个用户发了张带GPS的"告密者身份证"。
OneSignal的服务被大量商业App使用,但美国政府通过官方渠道收集这类数据,性质完全不同。商业公司追踪你是为了卖广告,政府追踪你是为了什么,答案留给用户自己填写。
视频嵌入在陌生GitHub用户的个人主页
@Thereallo1026的第二个发现更荒诞:App内的YouTube视频嵌入,调用的是一名随机GitHub用户的个人页面。
这意味着,如果该GitHub账户被入侵,攻击者可以向所有白宫App用户"投放任意HTML和JavaScript代码"。打个比方:你以为是政府官网在播放总统讲话,实际上播放器是某个程序员五年没更新的个人博客,门锁早就锈了。
GitHub个人账户的安全等级与企业级基础设施之间的差距,大概相当于小区传达室和银行金库。把官方视频流架在这种地方,要么是技术团队极度业余,要么是根本没把用户安全当回事。
浏览器插件式"优化":自动移除Cookie提示和付费墙
App内置的网页浏览器还有一项"贴心功能":自动注入CSS和JavaScript代码,移除第三方网站的Cookie同意弹窗、GDPR合规横幅、登录界面和付费墙。
这相当于政府给你发了个浏览器,并替你点击了"我同意"——不管你有没有真的同意。GDPR是欧盟的数据保护法规,Cookie提示是网站与用户之间的基础契约,付费墙是内容提供者的商业模式。白宫App用技术手段一键清除这些,既绕过了用户的知情权,也侵犯了第三方网站的运营边界。
这种设计思路很眼熟:某些流氓浏览器插件也会干类似的事,但它们至少不会打着"官方"旗号。
权限清单 vs 功能需求的错位
回到那个根本问题:一个看白宫直播、收通知的App,为什么需要指纹数据?为什么需要修改存储内容的权限?为什么需要阻止设备休眠?
合理的权限请求应该像合理的借款——金额与用途匹配。当你借给朋友500块应急,他同时索要房产证复印件和银行密码,你会直接拉黑。但面对政府App,很多用户的警惕开关似乎被"官方"二字短路了。
白宫X账号的宣传文案是"直达信源"(straight from the source)。现在看,这个"source"也在直达你的位置、你的生物特征、你的浏览痕迹。
技术社区对这款App的反应呈现出一种黑色幽默:有人调侃这是"ICE的钓鱼工具豪华版",有人建议"想下载的先准备个 burner phone(一次性手机)"。@Thereallo1026的逆向工程报告在X上获得数千转发,但白宫方面尚未对这些安全问题作出回应。
如果你已经安装了这款App,现在去检查权限设置还来得及。如果你还在犹豫要不要装——想想那个每4.5分钟跳动一次的位置标记,最终会在谁的屏幕上汇总成地图。
最后留个问:当政府App的代码质量还不如一个谨慎的独立开发者,用户该信任的是"官方"二字,还是自己的技术判断?
热门跟贴