圈小蛙
白宫于 2026 年 3 月底正式推出官方移动应用,宣称将为公众提供“第一手、无过滤”的政务资讯。然而,该应用上架不到 48 小时,便遭到技术社区深度“扒皮”。逆向工程显示,该程序不仅具备强制屏蔽隐私协议、绕过新闻付费墙的“流氓功能”,还集成了极高频率的 GPS 追踪系统,其开发逻辑中的安全漏洞更是令人咋舌。
官方应用变身“破解浏览器”:暴力绕过付费墙
这几天,白宫在 X (原 Twitter) 上高调宣布,其官方应用程序已在 Google Play 和 Apple App Store 同步上架。官方说法是让民众“将政府动态置于指尖”,但技术人员在拆解其 Android 版本代码后发现,这款应用的 WebView(内置浏览器)组件里藏着不少秘密。
根据安全研究员在其技术博客 thereallo.dev 发布的逆向分析报告,该应用会向用户访问的网页中强制注入 JavaScript 脚本。这套脚本的行为极其激进:它会自动检测并屏蔽第三方网站的 Cookie 弹窗和欧盟标准的 GDPR 隐私合规确认框。更离谱的是,脚本中包含特定的逻辑,允许用户绕过(Bypass)许多主流媒体的订阅付费墙(Paywalls)。这意味着,用户在白宫 App 里阅读外部新闻时,实际上是在使用一种“官方加持”的非法破解手段。
隐私噩梦:后台每 4.5 分钟一次的精确位置同步
如果说绕过付费墙只是“行为不端”,那么该应用对用户隐私的监控则足以让人脊背发凉。分析显示,应用深度集成了 OneSignal 追踪推送系统。在获取位置权限后,该程序被配置为在后台运行状态下,每隔 4.5 分钟就会采集一次精确的 GPS 坐标数据。
这些数据并非本地存储,而是会被实时同步至第三方服务器。对于一个政务资讯类应用而言,这种高频率、高精度的位置采集完全超出了业务逻辑的必要性。技术圈普遍质疑,这种全天候的追踪逻辑更像是一款间谍软件(Spyware),而非面向公众的服务工具。
开发规范极度“草台班子”,安全红线形同虚设
除了上述主观设计的争议功能,白宫 App 的代码质量也暴露出了严重的管理疏漏。研究员发现,应用内部的一个视频播放器组件,其核心代码竟然是从一个私人的 GitHub 页面动态加载的。这种做法在正规商业开发中是大忌,因为一旦该 GitHub 账号被黑或代码被恶意串改,所有白宫 App 用户都将面临远程代码执行的风险。
更令人啼笑皆非的是,在正式发布的版本包中,开发团队竟然遗留了开发环境的本地 IP 地址以及一系列生产环境不该出现的调试工具。这种“毛坯房直接交付”的行为,不仅反映了白宫在软件供应链安全审核上的缺失,也让这款应用的合规性蒙上了一层阴影。
目前,白宫方面尚未对此技术质疑作出正面回应。但在网络安全专家看来,一个由政府发布的官方应用,在隐私保护、版权尊重和代码安全上同时“踩雷”,这本身就是 2026 年开年以来最大的科技讽刺。
本报道由 圈小蛙(qxwa.com) 科技资讯站特约撰稿。🐸️