制裁华为的美国政府，把华为 SDK 装进了白宫官方 App？

作者：深潮 TechFlow

特朗普政府 3 月 27 日上线了一款官方新闻 App，号称让用户「无滤镜」直连白宫信息。

但多个独立安全审计在 48 小时内揭露了一个颇具讽刺意味的事实：这款 App 的安装包里嵌入了华为的追踪组件，而华为正是美国政府自己以国家安全为由列入制裁黑名单的中国公司。

除此之外，该 App 还要求 GPS 定位、指纹识别、开机自启动等一系列远超新闻应用所需的系统权限，X 平台迅速为其官方推广帖打上了社区备注警告。

一个发布新闻稿和总统直播的 App，为什么需要读取你的指纹？

安全研究员 Sam Bent 对白宫 App（版本号 47.0.1）进行逆向分析后，通过 Exodus Privacy 进行了扫描。Exodus Privacy 是一个开源的 Android 应用隐私审计平台，专门检测 App 内嵌的追踪器和权限请求，在隐私研究社区被广泛使用。扫描结果显示，白宫 App 内嵌 3 个追踪器，其中一个是 Huawei Mobile Services Core（华为移动服务核心组件）。

IBTimes 随后独立报道了同一发现，法律分析人士 mitchthelawyer 也在 Substack 上发文确认了 Exodus 报告的结论。三个独立信源指向同一事实：白宫官方 App 确实包含华为 SDK 代码。

需要说明的是，Huawei Mobile Services Core 本身是华为为全球安卓生态提供的推送和分析 SDK，许多面向国际市场的 App 会嵌入它以兼容华为手机。

它出现在安装包中，不等于它在主动向华为回传数据。但问题在于：

美国政府以国安理由禁止本国企业与华为做生意，自己的总统官方 App 里却装着华为的代码。Hacker News 上的评论一针见血：这大概率是外包承包商的默认配置，白宫决策层可能根本不知道华为 SDK 的存在，「但这或许比故意嵌入更令人担忧」。

权限清单堪比系统工具，隐私政策却停留在一年前

白宫 App 请求的权限包括：精确 GPS 定位、指纹生物识别、存储读写、开机自启动、悬浮窗覆盖其他应用、Wi-Fi 网络扫描，以及读取通知角标。作为对比，AP News 提供同类新闻推送和灾难报道，所需权限远少于此。

IBTimes 报道指出，App 的开发者承认，原本用于剥离位置权限的技术插件「显然没有剥离任何相关代码」。

更大的问题在于隐私政策。据 IBTimes 和 mitchthelawyer 的 Substack 文章交叉确认，白宫 App 适用的隐私政策最后更新于 2025 年 1 月 20 日，比 App 上线早了整整一年。该政策仅覆盖网站访问、邮件订阅和社交媒体页面，对移动 App、GPS 追踪、位置数据采集、生物识别访问等内容只字未提。用户点击「同意」时，同意的是一份根本不涵盖 App 实际行为的文件。

内嵌宣传话术和移民举报入口

App 内置了一个「给总统发短信」的功能按钮。点击后，消息文本框会自动填入一句话：「Greatest President Ever！」（史上最伟大的总统）。用户若选择发送，系统会收集其姓名和手机号码。

此外，App 还嵌入了一个 ICE 举报按钮。ICE 是美国移民与海关执法局（Immigration and Customs Enforcement），负责移民执法和遣返行动。点击该按钮会直接跳转至 ICE 的线人举报页面，用户可以匿名举报身边涉嫌非法移民的人。

一个名义上的政府新闻发布工具，同时承担着政治宣传和执法举报的数据采集入口。上线不到两天，X 平台用户为白宫官方推广帖打上了社区备注（Community Note），提醒其他用户注意隐私风险。

不止白宫：FBI App 投放广告，FEMA 要 28 项权限

Sam Bent 在同一篇调查中对多个联邦机构 App 做了 Exodus 审计，发现白宫 App 远非孤例。

FBI 官方 App「myFBI Dashboard」请求 12 项权限、内嵌 4 个追踪器，其中包括 Google AdMob，一个广告投放 SDK。一个联邦执法机构的官方 App 在读取用户手机身份信息的同时投放定向广告。

FEMA（联邦紧急事务管理署）App 请求 28 项权限，核心功能仅是显示天气预警和避难所位置。

海关与边境保护局（CBP）的护照管控 App 请求 14 项权限，其中 7 项被归类为「危险权限」，包括后台位置追踪（App 关闭后仍在跟踪）和完整存储读写。整个 CBP 应用生态采集的人脸数据保留期限长达 75 年，并在国土安全部、ICE 和 FBI 之间共享。

在更底层的数据采购层面，国土安全部、FBI、国防部和缉毒局通过 Venntel 等商业数据经纪公司，每天购买超过 150 亿个位置数据点，覆盖 2.5 亿台以上设备，无需搜查令。这一操作实质上绕过了美国最高法院 2018 年 Carpenter 诉美国案确立的手机位置数据隐私保护。

Hacker News 上多名评论者总结了这些 App 的共同逻辑：政府把本可以用网页或 RSS 发布的公开内容，包装成原生 App 分发，唯一合理的解释是获取浏览器不提供的系统级权限，包括后台定位、生物识别、设备身份读取和开机自启动。

美国审计署（GAO）2023 年的报告显示，自 2010 年以来发出的 236 项隐私与安全建议中，近 60%至今未被落实。国会曾两次被建议通过综合性互联网隐私立法，至今没有动作。