هل قامت الحكومة الأمريكية التي فرضت عقوبات على هواوي بدمج مجموعة أدوات تطوير البرمجيات (SDK) الخاصة بهواوي في التطبيق الرسمي للبيت الأبيض؟

作者：深潮 TechFlow

فقد أطلقت إدارة ترامب في 27 مارس تطبيقًا رسميًا للأخبار، زاعمةً أنه يتيح للمستخدمين «الاتصال مباشرة بالمعلومات من البيت الأبيض دون تصفية».

لكن كشفت خلال 48 ساعة العديد من عمليات التدقيق الأمنية المستقلة حقيقةً تحمل قدرًا كبيرًا من السخرية: يحتوي ملف التثبيت للتطبيق على مكوّنات التتبّع الخاصة بشركة Huawei، وهي الشركة الصينية نفسها التي تضعها الحكومة الأمريكية ضمن قائمة الحظر بناءً على «أمن قومي».

بالإضافة إلى ذلك، يطلب هذا التطبيق سلسلة من أذونات النظام التي تتجاوز بكثير ما يلزم لتطبيقات الأخبار، مثل تحديد الموقع بنظام GPS، والتعرّف على البصمة، والبدء التلقائي عند تشغيل الجهاز. كما وضعت منصة X بسرعة تحذيرًا مرفقًا بتعليقات من المجتمع على منشوراتها الترويجية الرسمية.

تطبيق لنشر الأخبار وإجراء بث مباشر من الرئيس… لماذا يحتاج إلى قراءة بصمتك؟

بعد أن أجرى الباحث الأمني Sam Bent تحليلًا عكسيًا لتطبيق البيت الأبيض (رقم الإصدار 47.0.1)، قام بإجراء فحص عبر Exodus Privacy. وExodus Privacy هو منصة تدقيق خصوصية لتطبيقات أندرويد مفتوحة المصدر، تُستخدم خصيصًا لاكتشاف المتتبعات المضمّنة داخل التطبيقات وطلبات الأذونات، وقد جرى استخدامها على نطاق واسع في مجتمع أبحاث الخصوصية. وأظهرت نتائج الفحص أن تطبيق البيت الأبيض يضم 3 متتبعات، أحدها هو Huawei Mobile Services Core (مكوّن الخدمات المتنقلة لهواوي).

ثم أفادت IBTimes بشكل مستقل عن الاكتشاف نفسه، كما نشر مستشار قانوني يدعى mitchthelawyer على Substack مقالًا أكد فيه نتيجة تقرير Exodus. تشير ثلاثة مصادر مستقلة إلى حقيقة واحدة: يحتوي تطبيق البيت الأبيض الرسمي بالفعل على كود SDK الخاص بهواوي.

تجدر الإشارة إلى أن Huawei Mobile Services Core بحد ذاته هو SDK خاص بهواوي لتقديم خدمات الدفع والإسناد والتحليلات على نظام أندرويد عالميًا، وتقوم العديد من التطبيقات الموجهة للسوق الدولية بتضمينه من أجل التوافق مع هواتف هواوي.

ظهوره داخل ملف التثبيت لا يعني أنه يرسل بيانات بشكل نشط إلى هواوي. لكن المشكلة تكمن في:

تحظر الحكومة الأمريكية على شركاتها الأصلية—بحجة الأمن القومي—إجراء الأعمال مع هواوي، ومع ذلك يحتوي تطبيقها الرسمي الخاص بالرئيس على كود هواوي. لخصت إحدى تعليقات Hacker News الأمر بدقة: فمن المرجح أن تكون هذه إعدادات افتراضية للمقاولين من الباطن، وربما لا تكون طبقة اتخاذ القرار في البيت الأبيض على علم بوجود Huawei SDK «لكن قد يكون هذا الأمر مقلقًا بدرجة أكبر من مجرد تضمينه عمدًا».

قائمة الأذونات تشبه أدوات النظام، بينما سياسة الخصوصية متروكة عند سنة مضت

تشمل أذونات تطبيق البيت الأبيض: تحديد الموقع الدقيق بنظام GPS، والتعرّف الحيوي على البصمة، والقراءة/الكتابة على التخزين، والبدء تلقائيًا عند تشغيل الجهاز، وعرض نافذة عائمة فوق التطبيقات الأخرى، وفحص شبكات Wi‑Fi، وقراءة رقم إخطارات (زاوية التنبيه). وبالمقارنة، تقدم AP News دفعًا لأخبار مشابهة وتغطية للكوارث، إلا أن الأذونات المطلوبة لديها أقل بكثير من هذه.

أشارت تقارير IBTimes إلى أن مطور التطبيق اعترف بأن مكوّنًا تقنيًا كان «مخصصًا لإزالة أذونات الموقع» يبدو أنه «لم يُزل أي كود ذي صلة على الإطلاق».

المشكلة الأكبر تكمن في سياسة الخصوصية. ووفقًا لتأكيد التقاطع بين مقالات IBTimes وmitchthelawyer على Substack، فإن سياسة الخصوصية التي ينطبق عليها تطبيق البيت الأبيض تم آخر تحديث لها في 20 يناير 2025، أي قبل إطلاق التطبيق بعام كامل. تغطي السياسة فقط زيارات الموقع، والاشتراك في البريد الإلكتروني، وصفحات وسائل التواصل الاجتماعي؛ ولا تذكر أي شيء بخصوص تطبيقات الهاتف المحمول، أو تتبع GPS، أو جمع بيانات الموقع، أو الوصول إلى بيانات التعرف الحيوي وغيرها. عند قيام المستخدم بالنقر على «موافق»، تكون موافقته على مستند لا يشمل أصلًا السلوك الفعلي للتطبيق.

عبارات ترويجية مضمّنة ومدخل للإبلاغ عن المهاجرين

يتضمن التطبيق زر وظيفة بعنوان «إرسال رسالة نصية إلى الرئيس». بعد النقر، يتم ملء مربع نص الرسالة تلقائيًا بجملة: «Greatest President Ever!» (أعظم رئيس على الإطلاق). إذا اختار المستخدم الإرسال، فسيقوم النظام بجمع اسمه ورقم هاتفه.

علاوة على ذلك، يتضمن التطبيق زرًا للإبلاغ عبر ICE. وICE هي دائرة إنفاذ الهجرة والجمارك في الولايات المتحدة (Immigration and Customs Enforcement)، وهي مسؤولة عن تطبيق قوانين الهجرة وإجراءات الترحيل. يؤدي النقر على هذا الزر مباشرةً إلى صفحة الإبلاغ عن المخبرين التابعة لـ ICE، حيث يمكن للمستخدم الإبلاغ بشكل مجهول عن أشخاص يُشتبه في أنهم مهاجرون غير قانونيين بالقرب منه.

أداة رسمية لنشر الأخبار—باسمها—في الوقت نفسه تعمل كمدخل لجمع بيانات للترويج السياسي وللإبلاغ التنفيذي. وقبل مرور يومين من إطلاقه، وضع مستخدمو منصة X على منشورات البيت الأبيض الرسمية الترويجية ملاحظة من المجتمع (Community Note)، تنبه المستخدمين الآخرين إلى مخاطر الخصوصية.

ليس البيت الأبيض فقط: FBI App يروّج بإعلانات، وFEMA تحتاج 28 إذنًا

أجرى Sam Bent في التحقيق نفسه عمليات تدقيق Exodus على تطبيقات تابعة لعدة جهات اتحادية، ووجد أن تطبيق البيت الأبيض بعيد كل البعد عن كونه حالة منفردة.

يطلب تطبيق FBI الرسمي «myFBI Dashboard» 12 إذنًا، ويتضمن 4 متتبعات، منها Google AdMob، وهو SDK لإعلانات يتم من خلاله تشغيل حملات إعلانية. وفي تطبيق رسمي لجهة إنفاذ قانونية، يتم عرض إعلانات مُستهدفة في الوقت الذي تتم فيه قراءة معلومات هوية المستخدم على الهاتف.

تطلب FEMA (الوكالة الفيدرالية لإدارة الطوارئ) 28 إذنًا، وكانت الوظائف الأساسية مجرد عرض تحذيرات الطقس ومواقع الملاجئ.

تطبيق إدارة جوازات السفر التابع لهيئة الجمارك وحماية الحدود (CBP) يطلب 14 إذنًا، ويُصنَّف 7 منها ضمن «أذونات خطرة»، بما في ذلك تتبع الموقع في الخلفية (التتبع بعد إغلاق التطبيق) والقراءة/الكتابة الكاملة على التخزين. وتصل مدة الاحتفاظ ببيانات الوجه التي يجمعها نظام تطبيقات CBP بالكامل إلى 75 عامًا، كما يتم مشاركتها بين وزارة الأمن الداخلي وICE وFBI.

وعلى مستوى أعمق في طبقة شراء البيانات، تقوم وزارة الأمن الداخلي وFBI ووزارة الدفاع ومكتب مكافحة المخدرات بشراء أكثر من 15 مليار نقطة بيانات موقع يوميًا عبر وسطاء بيانات تجاريين مثل Venntel، لتغطية أكثر من 250 مليون جهاز، دون الحاجة إلى أوامر قضائية. وتُعد هذه العملية—فعليًا—تجاوزًا للحماية الخاصة بخصوصية بيانات موقع الهواتف التي أرستها المحكمة العليا الأمريكية في قضية Carpenter v. United States في عام 2018.

خلص العديد من المعلقين على Hacker News إلى منطق مشترك لهذه التطبيقات: تَقوم الحكومة بتغليف محتوىً علنيًا كان يمكن نشره عبر الويب أو RSS كتطبيقات أصلية للتوزيع، والتفسير الوحيد المعقول هو الحصول على أذونات على مستوى النظام لا يوفرها المتصفح، بما في ذلك تحديد الموقع في الخلفية، والتعرف الحيوي، وقراءة هوية الجهاز، والبدء التلقائي عند التشغيل.

تُظهر تقارير مكتب المساءلة الحكومي الأمريكي (GAO) لعام 2023 أن نحو 60% من أصل 236 توصية متعلقة بالخصوصية والأمن الصادرة منذ عام 2010 لم يتم تنفيذها حتى الآن. كما طُرح على الكونغرس مرتين اقتراح تمرير تشريع شامل لخصوصية الإنترنت، لكنه لم يُحرز أي تقدم حتى اليوم.