Новое приложение правительства США вызвало обеспокоенность среди пользователей и исследователей по поводу потенциальных функций отслеживания местоположения, уязвимостей безопасности и сбора данных.
Белый дом запустил приложение в пятницу, чтобы пользователи могли получить «прямую линию связи с Белым домом», в том числе получать оповещения о последних новостях о важных правительственных объявлениях, смотреть прямые трансляции и быть в курсе «политических прорывов».
Однако пользователи X выразили обеспокоенность по поводу разрешений, необходимых для использования приложения, включая доступ к местоположению устройства, общему хранилищу и сетевой активности, хотя эти утверждения не были проверены независимо.
Хотя многие приложения часто запрашивают разрешения на определение местоположения и могут регистрировать пользовательские данные, приложение, запущенное федеральным правительством и запрашивающее эту информацию, может вызвать дополнительные проблемы.
Однако оба списка в Google Play Store и Apple App Store в настоящее время не отображают эти предупреждения.
В политике конфиденциальности приложения Белого дома говорится, что оно автоматически сохраняет информацию об исходном IP-адресе и другую базовую информацию, а также может сохранять имена и адреса электронной почты подписчиков, хотя они не являются обязательными для использования приложения.
Коинтелеграф связался с Белым домом для комментариев.
Инженер по безопасности говорит, что GPS-слежение является частью приложения
На странице приложения в Google Play Store указано, что личные данные, включая номера телефонов и адреса электронной почты, могут быть собраны при загрузке и использовании. Тем временем Apple App Store направляет пользователей к политике конфиденциальности Белого дома.
Разработчик программного обеспечения, использующий X-дескриптор Thereallo, вместе с Адамом, инженером по безопасности и архитектором инфраструктуры, говорят, что они идентифицировали код, предполагающий, что приложение может получить доступ к GPS устройства для отслеживания.
Хотя эта функция является общей для ряда приложений, Адам сказал, что службы отслеживания местоположения необычны в программном обеспечении, которое, похоже, в них не нуждается.
“В приложении нет ни карты, ни местных новостей, ни геозон, ни событий рядом с вами, ни погоды. В приложении нет ничего, что требовало бы определения местоположения”, – добавил он.
Проблемы с GPS-слежением каждые 4,5 минуты
Thereallo сделал аналогичное заявление о том, что приложение включает в себя код, который позволяет отслеживать устройство каждые 4,5 минуты на переднем плане и 9,5 минут в фоновом режиме, хотя это не было проверено независимо.
Они обнаружили, что для этого все еще требуется разрешение, но предупредили, что до активации остается «всего один звонок» и что инфраструктура отслеживания «существует и готова к работе».
В то же время Thereallo сообщил, что приложение собирает другие данные, такие как взаимодействия с уведомлениями, клики по сообщениям в приложении, номер телефона и состояние.
Безопасность может быть нарушена, говорит Адам
Адам сказал, что безопасность приложения может быть достаточно слабой, чтобы технически квалифицированный человек мог перехватить его данные или изменить его функциональность.
“Любой человек, подключенный к одной и той же сети Wi-Fi, скажем, в кафе, аэропорту или зале заседаний Конгресса, может перехватывать трафик API с помощью прокси. Любой, у кого есть взломанное устройство, может перехватить и изменить поведение приложения во время выполнения”, – сказал он.
“Никакие серверы не были исследованы. Никакой сетевой трафик не был перехвачен. Никакие DRM не были обойдены. Никаких инструментов, требующих взлома, не использовалось. Все описанное здесь доступно любому, кто загружает приложение из App Store и имеет терминал”.
