开发者逆向白宫 App 发现多项潜在隐私风险:强制绕过网站付费墙且内置 GPS 定位追踪器
开发者逆向白宫官方App揭露隐私隐患:强制破解网站付费订阅与高频GPS定位监控
近日,美国政府的“白宫”官方应用程序正式上线,主要功能为新闻资讯推送与官方活动直播。然而,应用发布的次日,技术社区便掀起轩然大波。一份来自 Thereallo 平台的深度逆向工程解析报告,揭露了这款应用背后一系列令人担忧的技术设计与潜在的隐私风险。
免费影视、动漫、音乐、游戏、小说资源长期稳定更新! 👉 点此立即查看 👈
技术专家在对应用安装包进行拆解分析后,发现了数个涉及用户隐私与数据安全的严重问题。其中最引人关注的一项是:该应用存在高频位置追踪机制,会以大约每4.5分钟一次的间隔,持续收集并上传用户的精确GPS定位数据。
内置浏览器功能“越界”:自动屏蔽提示并破解付费墙
分析首先聚焦于应用的内置浏览器模块。研究发现,该模块并非仅用于常规网页展示。其代码显示,它在加载外部网页时,会自动注入一段自定义JavaScript脚本。此脚本的“核心任务”十分明确:即自动屏蔽目标网站上的Cookie同意弹窗、GDPR隐私合规提示,甚至直接绕过新闻网站的付费订阅墙机制。
这会产生何种影响?意味着用户通过这款白宫App访问《纽约时报》《华尔街日报》等需要付费订阅的媒体网站时,可能会直接跳过付费环节,免费获取全文内容。从用户体验角度看似乎提供了便利,但对于依赖订阅收入的内容创作者和出版商而言,这无疑构成了一种技术性强制访问,其法律合规性与商业伦理引发了广泛质疑。
不间断的位置数据采集:后台持续运行,每4.5分钟上报
如果说破解付费墙更多涉及功能争议,那么其对位置信息的处理方式则直接触碰到用户隐私的敏感神经。逆向工程报告详细指出,该应用集成了第三方推送服务商 OneSignal 的组件,并明确启用了位置追踪功能。更值得关注的是隐藏在代码中的执行逻辑:它设置了一个约27万毫秒(即精确的4.5分钟)的定时循环,用于周期性获取用户的精准GPS地理位置。
换言之,一旦用户安装并运行此应用,它便会在用户无感知的情况下,高频且静默地记录其行踪轨迹。报告进一步强调,相关代码表明,即使应用程序被切换到手机后台运行,这种位置更新功能依然保持激活状态。所收集的详尽地理位置数据,最终会上传至第三方服务商的服务器。至于这些敏感数据的具体用途、存储期限以及是否在隐私政策中进行了充分告知,目前仍是未解之谜。
应用开发生命周期管理粗放:代码来源混杂并残留调试痕迹
除了功能性设计问题,该份技术分析报告还揭示了应用在开发与发布流程上的诸多不规范之处。例如,应用中负责媒体播放的核心代码,并非直接封装在应用本体内部,而是运行时从一个个人GitHub仓库动态加载。这种依赖外部非官方、非受控代码源的方式,极大地增加了代码被恶意篡改或遭受供应链攻击的安全风险。
此外,在面向全体公众发布的官方正式版本中,技术人员竟然发现了未清除的开发环境“残留物”,其中包括本地网络的IP地址以及用于调试的接口信息。遵循行业通用的安全开发生命周期(SDLC)标准,这类敏感的内部调试信息在应用发布前必须被彻底清除。它们的意外留存,不禁让外界对白宫App的安全审计严格性与版本发布管理流程的严谨性产生怀疑。
综上所述,这款由白宫发布的官方应用在技术实现层面暴露出多重隐患:从主动干预并改变第三方网页的显示与访问逻辑,到未经充分告知的高频地理位置数据收集,再到松散而不透明的代码依赖与管理流程。这些技术细节叠加,不可避免地引发了公众及业界对于用户个人数据如何被处理、存储与共享,以及官方应用安全边界究竟如何定义和监管的深切忧虑。截至目前,白宫新闻办公室尚未就这份详细的技术分析报告所列举的发现作出任何公开说明或回应。
参考资料:
《I Decompiled the White House's New App》
(感谢本站网友 LL J、手写的从前 的线索投递)
相关攻略
如何在OpenClaw中配置Tavily搜索插件实现实时搜索 想让你的OpenClaw智能体立即拥有检索互联网实时信息的能力?接入Tavily搜索插件是最直接高效的解决方案。本文将为你详细介绍完整的配置流程,只需简单几步即可完成集成。 1、插件安装步骤 首先需要安装官方提供的Tavily插件模块。打
开发者逆向白宫官方App揭露隐私隐患:强制破解网站付费订阅与高频GPS定位监控 近日,美国政府的“白宫”官方应用程序正式上线,主要功能为新闻资讯推送与官方活动直播。然而,应用发布的次日,技术社区便掀起轩然大波。一份来自 Thereallo 平台的深度逆向工程解析报告,揭露了这款应用背后一系列令人担忧
机器之心编辑部AI 社区已经疯狂!刚刚,一个名为 Chaofan Shou 的 X 账号发帖称,「Claude Code 的源代码通过其 npm 注册表中的一个映射文件泄露了!」短短时间内,该帖子已
Claude Code源码被泄露了。Anthropic最新发布到npm registry里的Claude Code安装包,带出了cli js map。而这个map文件里,不只是符号映射,不只是路径索
3月31日消息,针对Copilot被曝向GitHub拉取请求中注入广告内容一事,微软回应称这并非广告行为,而是一个编程逻辑Bug,目前已修复。GitHub开发者关系副总裁Martin Woodwar
热门专题
热门推荐
《三国:天下归心》香香连击队全面解析:后期最强阵容搭配攻略 在策略手游《三国:天下归心》中,如何打造一支能够主宰战局的后期王牌队伍?本篇将为您深入剖析以孙尚香为核心的“香香连击队”终极搭配方案。该阵容由孙尚香、蔡文姬、貂蝉三位核心武将构成,其独特之处在于通过蔡文姬与貂蝉的完美辅助联动,极大化触发孙尚
爱奇艺极速版营业执照信息查询全攻略 在使用爱奇艺极速版应用时,无论是出于消费保障、商务合作考量,还是日常维权需要,核实其背后的实际运营主体与工商信息都是十分必要的环节。查询其营业执照信息有着明确且可靠的操作路径,可以帮助用户清晰了解服务提供方的合法资质。 官方权威途径:国家企业信用信息公示系统查询
在《红色沙漠》的“堕落之神”任务中,古代闪电装置的解谜环节是挑战巨化泰坦BOSS前的核心难点。整个电塔谜题由五座塔构成,其核心在于正确的激活与连接顺序。为了让各位冒险家能快速通关,本篇攻略将详细解析闪电塔的正确操作步骤。咱们这就开始,一步步点亮所有的电塔。 《红色沙漠》堕落之神任务:闪电塔解谜全流程
洛克王国炽心勇狮全面解析:技能、获得方法与实战指南 在《洛克王国》的众多宠物中,炽心勇狮以其传奇守护者的身份和强大的火焰力量而备受瞩目。作为火系宠物的代表之一,它的核心特征在于那颗永不熄灭的火焰心脏,这不仅是它力量的象征,更是其所有强大技能的能量源泉。由炽心勇狮喷发出的烈焰,拥有随着战斗进程而不断增
洛克王国公平鸽图鉴详解:裁判型宠物的属性技能与获取攻略 在洛克王国的众多宠物当中,公平鸽以其鲜明的裁判官形象与独特的对战定位,成为了许多玩家关注的对象。这只严格恪守自身准则的宠物,完美诠释了何为“公正严明”。它的行事守则堪称一套独特的生存哲学:执着于介入每一场争执,绝不因任何原因延误“出庭”,坚持做