Новое приложение от правительства США вызвало обеспокоенность пользователей и исследователей в отношении потенциальных функций отслеживания местоположения, уязвимостей в системе безопасности и сбора данных.
Белый дом представил приложение в пятницу как способ обеспечить пользователям «прямую связь с Белым домом», включая получение оперативных новостей о важных правительственных объявлениях, просмотр прямых трансляций и отслеживание «прорывов в политике».
Однако пользователи платформы X выразили обеспокоенность по поводу разрешений, необходимых для использования приложения, включая доступ к местоположению устройства, общему хранилищу и сетевой активности, хотя эти утверждения не были проверены независимыми источниками.
В то время как многие приложения часто запрашивают разрешения на определение местоположения и могут регистрировать данные пользователей, приложение, выпущенное федеральным правительством с запросом этой информации, может вызвать дополнительные опасения.
Однако ни в Google Play Store, ни в App Store компании Apple в настоящее время не отображаются эти предупреждения.
В политике конфиденциальности приложения Белого дома указано, что оно автоматически сохраняет информацию об исходном IP-адресе и другую основную информацию, а также может хранить имена и адреса электронной почты подписчиков, хотя они не требуются для использования приложения.
Источник: Tyler Oakley
Cointelegraph связался с Белым домом за комментариями.
Инженер по безопасности утверждает, что отслеживание GPS является частью приложения
На странице приложения в Google Play Store указано, что личные данные, включая номера телефонов и адреса электронной почты, могут быть собраны в процессе загрузки и использования. Между тем, App Store компании Apple направляет пользователей к политике конфиденциальности Белого дома.
Разработчик программного обеспечения, использующий никнейм Thereallo, а также Адам, инженер по безопасности и архитектор инфраструктуры, утверждают, что они обнаружили код, который позволяет предположить, что приложение может получить доступ к GPS устройства для отслеживания местоположения.
Хотя эта функция широко распространена во многих приложениях, Адам отметил, что необычно, когда службы отслеживания местоположения присутствуют в программном обеспечении, которое, похоже, не нуждается в них.
«В приложении нет карты, местных новостей, геозонирования, событий поблизости или погоды. Ничего, что потребовало бы определения местоположения», — добавил он.
Опасения по поводу отслеживания GPS каждые 4,5 минуты
Thereallo сделал похожее заявление о том, что приложение включает код, который может позволить отслеживать устройство каждые 4,5 минуты при работе на переднем плане и каждые 9,5 минуты в фоновом режиме, хотя это не было проверено независимыми источниками.
Источник: Thereallo
Они обнаружили, что оно все еще требует разрешения, но предупредили, что оно находится «всего в одном звонке от активации», и что инфраструктура отслеживания «существует, готова к работе».
В то же время Thereallo заявил, что приложение собирает другие данные, такие как взаимодействия с уведомлениями, клики по сообщениям в приложении и номер телефона.
Безопасность может быть нарушена, говорит исследователь
Адам отметил, что безопасность приложения также может быть недостаточной для того, чтобы технически подкованный человек мог перехватывать его данные или изменять его функциональность.
«Любой, находящийся в одной Wi-Fi сети, например, в кафе, аэропорту или в зале заседаний Конгресса, может перехватить API-трафик с помощью прокси. Любой, у кого есть взломанное устройство, может подключаться и изменять поведение приложения во время выполнения», — сказал он.
«Ни один сервер не был протестирован. Ни один сетевой трафик не был перехвачен. Ни один DRM не был обойден. Никакие инструменты, требующие взлома, не использовались. Все, что здесь описано, можно наблюдать любому, кто загрузит приложение из App Store и имеет терминал».
