Исследование кода приложения Белого дома: скрытый GPS и уязвимости

Тема всплыла в обсуждении на Reddit в субботу. Пост о разборе кода официального приложения Белого дома собрал более четырёх тысяч голосов «за» и сразу же разжёг горячие споры о приватности.

Как всё началось

Исследователь взял свежий APK‑файл, раскрыл его содержимое и наткнулся на несколько тревожных строк. Первое — скрытый конвейер GPS‑отслеживания, который каждые 4,5 минут в режиме активного использования и 9,5 минут в фоне отправляет координаты, точность и метку времени на серверы OneSignal. В манифесте об этом ничего не сказано.

Второе — скрипт для встраивания YouTube‑видео берётся не из проверенного хранилища, а с чужого аккаунта на GitHub. Если владелец репозитория будет взломан, в приложение можно подложить любой код.

Третье — отсутствие привязки SSL‑сертификатов. На общественном Wi‑Fi любой «человек посередине» может подменить ответы сервера и выудить данные.

Четвёртое — приложение подменяет содержимое страниц, убирая окна согласия на куки, GDPR‑баннеры и даже платные блокировки. Пользователь даже не замечает, что его согласие отозвано.

Пятое — в релизе остались артефакты разработки: ссылки на локальный сервер Metro‑bundler, отладочные инструменты и комментарии, оставленные программистами.

Что говорят пользователи

«Jesus fucking Christ, it's just spyware. Like not even a little hyperbolic, it's just fuckin spyware» — Kriznick

«The app is loading from a random person’s GitHub page» — Federal-Block-3275

«lmao the app store reviews are straight AI/bot nonsense» — edmunchies

Почему это важно

Приложение позиционируется как «непревзойдённый доступ к администрации», но в реальности оно собирает данные, которые могут стать рычагом давления. Если такие практики станут нормой, каждый гражданин будет вынужден выбирать между удобством и своей тайной.

Анализ рынка

В России

• Signal — мессенджер с сквозным шифрованием, подходит для безопасного общения, но не предлагает проверку приложений государственных органов.
• ProtonVPN — сервис VPN с политикой «нет журналов», помогает скрыть реальный IP, однако не интегрирован в мобильные ОС как системный модуль.
• Telegram‑бот «PrivacyCheck» — проверяет установленные приложения на наличие подозрительных разрешений, но пока не умеет анализировать скрытый код.

За рубежом

• DuckDuckGo Privacy Browser — браузер, блокирующий трекеры и принудительно использующий HTTPS, популярный среди пользователей, ищущих анонимность.
• OneSignal Dashboard — платформа для отправки push‑уведомлений, в открытом виде позволяет увидеть, какие данные передаются, но требует отдельной подписки.
• AppCensus — сервис, сканирующий мобильные приложения на уязвимости и скрытый сбор данных, предоставляет отчёты для компаний и частных лиц.

Незакрытая ниша: в России отсутствует независимый онлайн‑сканер мобильных приложений, который бы без регистрации проверял APK‑файлы на скрытый код, отслеживание и сторонние скрипты. Пользователи вынуждены полагаться на зарубежные сервисы, часто недоступные из‑за блокировок.

Читайте также

• Уязвимость "Copy Fail" в Linux: почему CISA бьёт тревогу
• Воры RAM: как цена на оперативную память привела к новой волне краж
• Дети обходят возрастные ограничения с помощью усов: что не так с проверкой возраста в интернете