Правительство США, наложившее санкции на Huawei, установило SDK Huawei в официальное приложение Белого дома?

Автор: Deep潮 TechFlow

27 марта администрация Трампа запустила официальное новостное приложение, заявив, что оно позволяет пользователям «без фильтров» напрямую получать информацию с Белого дома.

Однако в течение 48 часов несколько независимых аудитов по вопросам безопасности раскрыли довольно ироничный факт: в установочный пакет этого приложения встроены трекеры Huawei, а Huawei — это китайская компания, которую правительство США само внесло в санкционный список по причине национальной безопасности.

Кроме того, приложение запрашивает целый ряд системных разрешений, значительно выходящих за рамки требований новостного приложения: определение местоположения по GPS, распознавание по отпечатку пальца, автозапуск при включении и т. д. Платформа X быстро пометила официальные рекламные публикации приложения предупреждением от сообщества.

Приложению, выпускающему пресс-релизы и ведущему прямые трансляции президента, зачем нужно читать ваш отпечаток пальца?

После обратного анализа приложения Белого дома (версия 47.0.1) исследователь безопасности Sam Bent выполнил сканирование через Exodus Privacy. Exodus Privacy — это платформа с открытым исходным кодом для аудита приватности Android-приложений, специально предназначенная для обнаружения трекеров и запросов разрешений, встроенных в приложения, и широко используемая в сообществе исследователей приватности. Результаты сканирования показали, что в приложении Белого дома встроены 3 трекера, один из которых — Huawei Mobile Services Core (компонент ядра мобильных сервисов Huawei).

Затем IBTimes независимо сообщила об этом же открытии, а юрист-аналитик mitchthelawyer также опубликовал на Substack материал, подтвердив выводы отчета Exodus. Три независимых источника указывают на одно и то же: официальное приложение Белого дома действительно содержит код SDK Huawei.

Нужно уточнить, что сам Huawei Mobile Services Core — это SDK для push-уведомлений и аналитики, который Huawei предоставляет глобальной экосистеме Android. Многие приложения, ориентированные на международный рынок, встраивают его, чтобы быть совместимыми с телефонами Huawei.

То, что он присутствует в установочном пакете, не означает, что он активно отправляет данные обратно в Huawei. Но проблема в следующем:

Правительство США по соображениям национальной безопасности запрещает отечественным компаниям вести бизнес с Huawei, а в собственном официальном приложении президента при этом стоит код Huawei. Комментарий на Hacker News попал прямо в точку: «С высокой вероятностью это типовая конфигурация внешних подрядчиков; руководство Белого дома, возможно, вообще не знало о существовании SDK Huawei, но, возможно, это даже более тревожно, чем если бы его намеренно встраивали».

Список разрешений — как у системного инструмента, а политика приватности — годичной давности

Разрешения, которые запрашивает приложение Белого дома, включают: точное GPS-определение местоположения, биометрическую идентификацию по отпечатку пальца, чтение/запись в память, автозапуск при включении, отображение поверх других приложений (overlay), сканирование Wi-Fi-сетей и чтение значков уведомлений. Для сравнения, AP News предоставляет аналогичную новостную рассылку и освещение катастроф — требуемые разрешения там намного меньше.

В материале IBTimes говорится, что разработчики приложения признали: технический плагин, который изначально предназначался для отсечения разрешений на геолокацию, «очевидно, не отсекал никакой связанный код».

Более серьезная проблема — это политика приватности. Согласно взаимному подтверждению материалов IBTimes и статьи mitchthelawyer на Substack, применимая к приложению политика приватности Белого дома была обновлена последний раз 20 января 2025 года — то есть ровно за год до выхода приложения. Политика охватывает только доступ к сайту, подписку по электронной почте и страницы в соцсетях; о мобильном приложении, GPS-трекинге, сборе данных о местоположении, доступе к биометрии и п. т. не говорится ни слова. Нажимая «Согласен», пользователь соглашается с документом, который по сути не охватывает реальное поведение приложения.

Встроенный язык для продвижения и вход в раздел для сообщений о нарушениях иммиграционного характера

В приложении встроена кнопка-функция «Отправить текстовое сообщение президенту». После нажатия текстовое поле сообщения автоматически заполняется фразой: «Greatest President Ever!» (самый великий президент в истории). Если пользователь выберет отправку, система соберет его имя и номер мобильного телефона.

Кроме того, в приложении встроена кнопка для сообщений о нарушениях ICE. ICE — это Immigration and Customs Enforcement (Служба иммиграционного и таможенного контроля США), отвечающая за правоприменение в сфере иммиграции и операции по депортации. Нажатие этой кнопки напрямую переадресует пользователя на страницу сообщений от информаторов ICE, где пользователи могут анонимно сообщать о людях рядом с ними, которых они подозревают в незаконной иммиграции.

Номинально это инструмент рассылки правительственных новостей, который одновременно служит входной точкой для сбора данных — как для политической пропаганды, так и для правоохранительных сообщений. Менее чем за два дня после запуска пользователи X пометили посты с официальным продвижением Белого дома заметкой сообщества (Community Note), напомнив другим пользователям обратить внимание на риски приватности.

Не только Белый дом: реклама в приложении FBI, и FEMA нужны 28 разрешений

В той же самой статье исследования Sam Bent провел Exodus-аудит приложений нескольких федеральных ведомств и обнаружил, что приложение Белого дома далеко не единичный случай.

Официальное приложение FBI «myFBI Dashboard» запрашивает 12 разрешений и встраивает 4 трекера, включая Google AdMob — SDK для размещения рекламы. Официальное приложение федерального правоохранительного органа одновременно считывает личные данные пользователей и размещает таргетированную рекламу.

Приложение FEMA (Федеральное агентство по чрезвычайным ситуациям) запрашивает 28 разрешений, а ключевая функция сводится лишь к отображению предупреждений о погоде и расположения убежищ.

Приложение для контроля паспортов CBP (Управления таможенного и пограничного контроля) запрашивает 14 разрешений, из которых 7 классифицированы как «опасные разрешения», включая трекинг местоположения в фоне (даже после выключения приложения продолжает отслеживать) и полный доступ к чтению/записи хранилища. Срок хранения лицевых данных, собираемых всей CBP-экосистемой приложений, достигает 75 лет, и они передаются и совместно используются между Министерством внутренней безопасности, ICE и FBI.

На более глубоком уровне закупки данных Министерство внутренней безопасности, FBI, Министерство обороны и Управление по борьбе с наркотиками через коммерческих посредников данных, таких как Venntel, каждый день покупают более 150 млрд точек данных о местоположении, охватывая более 250 млн устройств, без необходимости ордера на обыск. По сути, это обходит защиту приватности мобильных данных о местоположении, установленную Верховным судом США в деле Carpenter v. United States (2018).

Несколько комментаторов на Hacker News обобщили общую логику этих приложений: правительство упаковывает публичный контент, который можно было бы публиковать через веб-сайт или RSS, в нативную выдачу приложений; единственное разумное объяснение — получение системных разрешений, которые не предоставляются браузером, включая геолокацию в фоне, биометрическую идентификацию, чтение идентификатора устройства и автозапуск при включении.

Отчет Счетной палаты США (GAO) за 2023 год показывает, что из 236 рекомендаций по приватности и безопасности, выпущенных с 2010 года, почти 60% до сих пор не были реализованы. Конгрессу дважды рекомендовалось принять всеобъемлющее законодательство о приватности в интернете, но до сих пор действий не последовало.