白宫官方安卓应用安全漏洞大揭秘
2026 年,白宫在 App Store 和 Google Play 上发布了一款官方安卓应用,宣称能“让用户无与伦比地接触特朗普政府”。然而,安全研究人员反编译该应用后发现诸多严重安全问题。
应用存在绕过 Cookie/付费墙的注入器,每 4.5 分钟跟踪一次用户 GPS 位置,还从个人 GitHub Pages 加载 JavaScript 代码,存在极大安全隐患。
该应用有一个用于打开外部链接的 WebView,每次加载页面时会注入一段 JavaScript 代码,隐藏 Cookie 横幅、GDPR 同意对话框、登录墙等内容。这意味着一款美国政府官方应用正在向第三方网站注入 CSS 和 JavaScript,以去除它们的安全防护机制。
位置跟踪方面,尽管 Expo 配置中有 `withNoLocation` 插件,但 OneSignal SDK 的原生位置跟踪代码已完全编译到 APK 中。只要满足 `_isShared` 标志开启、用户授予 Android 运行时位置权限、设备有位置提供者这三个条件,就会按照 4.5 分钟的前台间隔和 9.5 分钟的后台间隔请求 GPS 数据,并将相关数据同步到 OneSignal 的后端。
应用使用 `react-native-youtube-iframe` 库嵌入 YouTube 视频,该库从个人 GitHub Pages 网站加载播放器 HTML。如果 `lonelycpp` GitHub 账户被攻破,控制者可以向该应用的所有用户提供任意 HTML 和 JavaScript 代码,并在 WebView 上下文中执行。
此外,应用还从 Elfsight 加载第三方 JavaScript 以嵌入社交媒体资讯,其代码在应用的 WebView 中运行,没有沙盒保护。同时,应用还涉及 Mailchimp、Uploadcare、Truth Social、Facebook 等第三方基础设施,这些都不是政府控制的,存在数据泄露风险。
该应用使用标准的 Android TrustManager 进行 SSL 验证,没有自定义证书固定。在 CA 被攻破的网络环境下,应用与其后端之间的通信可能会被拦截和读取。
生产环境中还存在一些草率的遗留问题,如包含本地主机 URL、开发者的本地 IP 被硬编码、Expo 开发客户端被编译到发布版本中、Compose `PreviewActivity` 在清单文件中被导出等。
编辑观点:白宫官方应用的安全漏洞令人震惊,凸显了政府应用在安全开发和管理上的严重不足。行业应加强安全审查,杜绝此类漏洞,保障用户隐私和数据安全。