Новий додаток від уряду США викликав занепокоєння серед користувачів і дослідників щодо потенційних функцій відстеження місцезнаходження, вразливості безпеки та збору даних.
Білий дім запустив додаток у п’ятницю, щоб користувачі отримували «пряму лінію зв’язку з Білим домом», включаючи отримання сповіщень про найважливіші новини про основні оголошення уряду, перегляд прямих трансляцій і інформування про «прориви в політиці».
Однак користувачі X висловили занепокоєння щодо дозволів, необхідних для використання програми, включаючи доступ до місцезнаходження пристрою, спільного сховища та мережевої активності, хоча ці заяви не були незалежно перевірені.
Хоча багато програм часто запитують дозволи на місцезнаходження та можуть реєструвати дані користувачів, програма, запущена федеральним урядом із запитом на цю інформацію, може викликати додаткові проблеми.
Однак обидва списки в Google Play Store і Apple App Store наразі не відображають цих попереджень.
У політиці конфіденційності програми Білого дому сказано, що вона автоматично зберігає інформацію про вихідну адресу Інтернет-протоколу (IP) та іншу основну інформацію, але може зберігати імена та адреси електронної пошти підписників, хоча вони не є обов’язковими для використання програми.
Cointelegraph звернувся до Білого дому за коментарем.
Інженер безпеки каже, що GPS-відстеження є частиною програми
На сторінці програми в Google Play Store зазначено, що особисті дані, зокрема номери телефонів і адреси електронної пошти, можуть збиратися під час завантаження та використання. Тим часом Apple App Store направляє користувачів до політики конфіденційності Білого дому.
Розробник програмного забезпечення, який використовує дескриптор X Thereallo, разом з Адамом, інженером із безпеки та архітектором інфраструктури, кажуть, що вони ідентифікували код, який передбачає, що програма може отримати доступ до GPS пристрою для відстеження.
Незважаючи на те, що ця функція поширена в багатьох програмах, Адам сказав, що служби відстеження місцезнаходження є незвичними для програмного забезпечення, яке, здається, не потребує їх.
“Немає ні карти, ні місцевих новин, ні геозон, ні подій поблизу вас, ні погоди. Нічого в додатку, що вимагає місцезнаходження”, – додав він.
Проблеми з відстеженням GPS кожні 4,5 хвилини
Thereallo зробив аналогічну заяву про те, що програма містить код, який може дозволити відстежувати пристрій кожні 4,5 хвилини на передньому плані та 9,5 хвилин у фоновому режимі, хоча це не було незалежно перевірено.
Вони виявили, що для цього все ще потрібен дозвіл, але попередили, що до активації залишився лише один дзвінок і що «інфраструктура відстеження є, готова до роботи».
У той же час Thereallo сказав, що програма збирає інші дані, такі як взаємодія сповіщень, кліки повідомлень у програмі, номер телефону та стан.
Безпека може бути порушена, каже Адам
Адам сказав, що безпека програми може бути достатньо слабкою, щоб технічно досвідчена особа могла перехопити її дані або змінити її функціональність
“Будь-хто в тій самій мережі Wi-Fi, скажімо, у кафе, аеропорту чи кімнаті для слухань Конгресу, може перехоплювати трафік API за допомогою проксі. Будь-хто зі зламаним пристроєм може перехопити та змінити поведінку програми під час виконання”, – сказав він.
“Жодних серверів не досліджено. Жодного мережевого трафіку не було перехоплено. Жодного DRM не було обійдено. Жодних інструментів, які потребують джейлбрейка, не використовувалося. Усе, що тут описано, може спостерігати кожен, хто завантажує програму з App Store і має термінал”.
