IT之家 3 月 29 日消息,美国政府 3 月 27 日正式推出了“白宫”官方 App。该应用可提供新闻更新、直播流等内容。在应用发布第二天,一篇来自 Thereallo 的逆向工程分析博客引发技术圈关注。开发者对其.apk 安装包进行反编译后发现,该应用内部实现存在多项涉及隐私与安全的设计问题,例如每 4.5 分钟跟踪一次你的 GPS 定位。
分析显示,白宫 App 内置浏览器组件,并在加载网页时注入自定义 JavaScript 脚本,用于屏蔽第三方网站中的 Cookie 弹窗、GDPR 隐私提示以及付费墙机制,从而允许用户绕过部分网站的订阅限制直接访问其内容。在数据采集方面,逆向结果显示该应用集成了推送服务平台 OneSignal 的相关组件,并启用了位置数据相关功能。代码中包含以约 270000 毫秒为周期的定位更新逻辑,即约每 4.5 分钟获取一次用户的精确 GPS 位置信息,并将数据同步至第三方服务器(相关实现还涉及后台运行状态下的位置更新能力)。分析还指出,该应用存在一定程度的开发与发布流程问题。例如,其媒体播放器相关代码直接从个人 GitHub 页面动态加载,而非通过正式的应用资源分发渠道,意味着存在被篡改的可能。同时,该应用正式版本中仍残留开发环境信息,包括本地 IP 地址及调试工具接口,而这类信息通常应在发布前移除。从逆向工程披露的情况来看,该应用在功能实现中涉及网页内容控制、位置数据采集以及第三方服务集成等多个方面,其具体实现方式及相关配置引发了外界对应用数据处理与安全管理的关注。目前,白宫方面尚未就上述技术分析细节作出公开回应。参考资料:
广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,蓝鸢梦想所有文章均包含本声明。
