开发者逆向白宫 App 发现多项潜在隐私风险:强制绕过网站付费墙且内置 GPS 定位追踪器
开发者逆向白宫官方App揭露隐私隐患:强制破解网站付费订阅与高频GPS定位监控
近日,美国政府的“白宫”官方应用程序正式上线,主要功能为新闻资讯推送与官方活动直播。然而,应用发布的次日,技术社区便掀起轩然大波。一份来自 Thereallo 平台的深度逆向工程解析报告,揭露了这款应用背后一系列令人担忧的技术设计与潜在的隐私风险。
技术专家在对应用安装包进行拆解分析后,发现了数个涉及用户隐私与数据安全的严重问题。其中最引人关注的一项是:该应用存在高频位置追踪机制,会以大约每4.5分钟一次的间隔,持续收集并上传用户的精确GPS定位数据。
内置浏览器功能“越界”:自动屏蔽提示并破解付费墙
分析首先聚焦于应用的内置浏览器模块。研究发现,该模块并非仅用于常规网页展示。其代码显示,它在加载外部网页时,会自动注入一段自定义JavaScript脚本。此脚本的“核心任务”十分明确:即自动屏蔽目标网站上的Cookie同意弹窗、GDPR隐私合规提示,甚至直接绕过新闻网站的付费订阅墙机制。
这会产生何种影响?意味着用户通过这款白宫App访问《纽约时报》《华尔街日报》等需要付费订阅的媒体网站时,可能会直接跳过付费环节,免费获取全文内容。从用户体验角度看似乎提供了便利,但对于依赖订阅收入的内容创作者和出版商而言,这无疑构成了一种技术性强制访问,其法律合规性与商业伦理引发了广泛质疑。
不间断的位置数据采集:后台持续运行,每4.5分钟上报
如果说破解付费墙更多涉及功能争议,那么其对位置信息的处理方式则直接触碰到用户隐私的敏感神经。逆向工程报告详细指出,该应用集成了第三方推送服务商 OneSignal 的组件,并明确启用了位置追踪功能。更值得关注的是隐藏在代码中的执行逻辑:它设置了一个约27万毫秒(即精确的4.5分钟)的定时循环,用于周期性获取用户的精准GPS地理位置。
换言之,一旦用户安装并运行此应用,它便会在用户无感知的情况下,高频且静默地记录其行踪轨迹。报告进一步强调,相关代码表明,即使应用程序被切换到手机后台运行,这种位置更新功能依然保持激活状态。所收集的详尽地理位置数据,最终会上传至第三方服务商的服务器。至于这些敏感数据的具体用途、存储期限以及是否在隐私政策中进行了充分告知,目前仍是未解之谜。
应用开发生命周期管理粗放:代码来源混杂并残留调试痕迹
除了功能性设计问题,该份技术分析报告还揭示了应用在开发与发布流程上的诸多不规范之处。例如,应用中负责媒体播放的核心代码,并非直接封装在应用本体内部,而是运行时从一个个人GitHub仓库动态加载。这种依赖外部非官方、非受控代码源的方式,极大地增加了代码被恶意篡改或遭受供应链攻击的安全风险。
此外,在面向全体公众发布的官方正式版本中,技术人员竟然发现了未清除的开发环境“残留物”,其中包括本地网络的IP地址以及用于调试的接口信息。遵循行业通用的安全开发生命周期(SDLC)标准,这类敏感的内部调试信息在应用发布前必须被彻底清除。它们的意外留存,不禁让外界对白宫App的安全审计严格性与版本发布管理流程的严谨性产生怀疑。
综上所述,这款由白宫发布的官方应用在技术实现层面暴露出多重隐患:从主动干预并改变第三方网页的显示与访问逻辑,到未经充分告知的高频地理位置数据收集,再到松散而不透明的代码依赖与管理流程。这些技术细节叠加,不可避免地引发了公众及业界对于用户个人数据如何被处理、存储与共享,以及官方应用安全边界究竟如何定义和监管的深切忧虑。截至目前,白宫新闻办公室尚未就这份详细的技术分析报告所列举的发现作出任何公开说明或回应。
参考资料:
《I Decompiled the White House's New App》
(感谢本站网友 LL J、手写的从前 的线索投递)
相关攻略
备受开发者青睐的开源终端项目 Ghostty,即将正式告别 GitHub 平台。 这一决定由项目创始人、HashiCorp 联合创始人 Mitchell Hashimoto 在其个人博客中公布。他以一篇情感真挚的长文,详细阐述了离开的原因,核心问题直指 GitHub 日益频繁的系统故障与糟糕的服务稳
全球开发者曾经最信赖的代码托管平台GitHub,正面临一场前所未有的信任危机。而敲响警钟的,是一位最意想不到的核心贡献者。 Mitchell Hashimoto,GitHub上第1299号注册用户,一个在开源世界举足轻重的名字。他是Vagrant、Terraform、Packer等一系列基础设施基石
作为全球开发者生态的核心平台,GitHub 在代码托管、团队协作及开源项目推进方面持续发挥着关键作用。即便在被微软收购后,其增长趋势依然强劲,直至去年。进入2025年,由AI编程工具引领的技术浪潮为平台带来了新的增长动力。随着AI智能体在开发者中的广泛应用,GitHub 的用户规模与活动数据迎来了前
想要在Perplexity中实时追踪GitHub趋势项目,并整合社交媒体上的技术动态?你会发现,其原生搜索功能并未直接聚合GitHub Trending页面及多平台社交媒体信息流。不过,通过以下几种方法的组合,完全可以实现这一目标。 一、使用vibe-tools调用API并注入趋势关键词 此方法的核
作为全球开发者首选的代码托管与协作平台,GitHub 构建了一个无与伦比的开源生态系统。无论是探索前沿的开源项目、学习优秀代码实践,还是在私有仓库中进行高效的团队协作,它都提供了一站式、功能全面的解决方案,显著提升开发者的工作效率与创造力。 GitHub 官网设计清晰直观,导航与功能分区科学合理,确
热门专题
热门推荐
在《燕云十六声》的天工地窟中,“身如飞燕”宝箱的获取是一场对玩家综合探索能力的深度考验。想要成功开启它,不仅需要耐心与观察力,更需掌握系统性的探索策略。 掌握地窟地形与核心布局 进入天工地窟后,首要任务是进行全方位的地形勘察。建议玩家先熟悉主要通道、分支岔路以及所有可能被忽略的角落,建立完整的地图认
装修这件事,说多了都是泪。找施工队像开盲盒,预算表永远在“动态调整”,设计图看得眼花缭乱……投入大量时间和精力,最后的效果可能还是差强人意。说到底,信息不对称和过程不透明,是大多数装修烦恼的根源。 好在,如今有不少专业的数字化工具,能帮我们把控关键环节。今天就来聊聊五款定位清晰、实用性强的装修类应用
在《燕云十六声》的宏大江湖中,“不见山洞”无疑是一处引人入胜的秘境。这里不仅栖息着珍奇异兽、埋藏着稀世珍宝,更交织着无数待玩家发掘的隐秘故事与特殊事件。若想彻底揭开此地的所有秘密,掌握以下探索技巧至关重要。 进入不见山洞后,首要任务是保持专注,对环境进行细致勘察。洞内的景象暗藏玄机,绝非一目了然。一
在《骷髅传奇》中,神盾系统是决定角色战力的核心模块,远非一件普通装备可比。它更像是一位能够深度定制、伴随你征战四方的忠实伙伴。本文将为你全面解析神盾系统的获取、培养与实战运用,助你将其从基础配置打造为真正的战力引擎,在游戏中脱颖而出。 获取你的第一面神盾是旅程的起点。游戏内提供了多样化的获取途径:完
天成孙悟空这款限定皮肤,以其独特的视觉设计在战场上脱颖而出。它将中国古典神话中齐天大圣的经典形象,与游戏内的现代美学风格进行了深度结合。标志性的金色毛发、可化为武器的金箍棒特效,以及服饰上精致的云纹与神话元素,共同塑造了一个极具战场辨识度的英雄形象。这种高辨识度本身,在战术层面就具有独特价值——它能