Apakah pemerintah AS yang memberlakukan sanksi terhadap Huawei memasang SDK Huawei ke dalam Aplikasi resmi Gedung Putih?

Penulis: dalam-dalam TechFlow

Pemerintahan Trump meluncurkan sebuah aplikasi berita resmi pada 27 Maret, yang mengklaim bahwa aplikasi tersebut memungkinkan pengguna untuk “tanpa filter” terhubung langsung dengan informasi Gedung Putih.

Namun, dalam 48 jam, beberapa audit keamanan independen mengungkap sebuah fakta yang cukup ironis: paket aplikasi ini menyematkan komponen pelacakan dari Huawei, padahal Huawei adalah perusahaan Tiongkok yang oleh pemerintah AS sendiri dimasukkan dalam daftar hitam sanksi dengan alasan keamanan nasional.

Selain itu, aplikasi ini meminta sejumlah izin sistem yang jauh melampaui kebutuhan aplikasi berita, seperti lokasi GPS, pengenalan sidik jari, serta peluncuran otomatis saat perangkat dinyalakan; dalam waktu singkat, platform X dengan cepat memberi peringatan catatan komunitas pada postingan promosi resminya.

Sebuah aplikasi yang merilis berita dan siaran langsung presiden, mengapa perlu membaca sidik jari Anda?

Setelah melakukan analisis balik terhadap aplikasi Gedung Putih (versi 47.0.1), peneliti keamanan Sam Bent memindai menggunakan Exodus Privacy. Exodus Privacy adalah platform audit privasi aplikasi Android open-source yang secara khusus mendeteksi pelacak yang disematkan di dalam aplikasi dan permintaan izin, serta banyak digunakan di komunitas riset privasi. Hasil pemindaian menunjukkan aplikasi Gedung Putih menyematkan 3 pelacak, salah satunya adalah Huawei Mobile Services Core (komponen inti layanan seluler Huawei).

IBTimes kemudian melaporkan secara independen temuan yang sama, dan analis hukum mitchthelawyer juga menulis artikel di Substack untuk mengonfirmasi kesimpulan laporan Exodus. Tiga sumber independen mengarah pada fakta yang sama: aplikasi resmi Gedung Putih memang berisi kode SDK Huawei.

Perlu dijelaskan bahwa Huawei Mobile Services Core sendiri adalah SDK untuk push dan analitik yang disediakan Huawei bagi ekosistem Android global; banyak aplikasi yang menarget pasar internasional menyematkannya untuk kompatibilitas dengan ponsel Huawei.

Kehadirannya di dalam paket instalasi tidak berarti bahwa ia secara aktif mengirim kembali data ke Huawei. Namun masalahnya adalah:

Pemerintah AS melarang perusahaan domestiknya untuk berbisnis dengan Huawei dengan alasan keamanan nasional, sementara di aplikasi resmi presiden mereka justru terpasang kode Huawei. Ulasan di Hacker News tepat sasaran: ini kemungkinan besar adalah konfigurasi default dari kontraktor outsourcing, dan pihak pengambil keputusan Gedung Putih mungkin bahkan tidak mengetahui keberadaan SDK Huawei, “tapi mungkin itu bahkan lebih mengkhawatirkan daripada penyematan yang disengaja.”

Daftar izin setara alat sistem, kebijakan privasi tertinggal satu tahun

Izin yang diminta aplikasi Gedung Putih mencakup: lokasi GPS presisi, pengenalan biometrik sidik jari, baca/tulis penyimpanan, peluncuran otomatis saat perangkat dinyalakan, jendela mengambang untuk menutupi aplikasi lain, pemindaian jaringan Wi‑Fi, serta pembacaan lencana notifikasi. Sebagai perbandingan, AP News menyediakan push berita dan pelaporan bencana sejenis, dengan izin yang jauh lebih sedikit.

Laporan IBTimes menyebutkan bahwa pengembang aplikasi mengakui plugin teknis yang awalnya digunakan untuk memutus izin lokasi, “jelas tidak memutus kode terkait apa pun”.

Masalah yang lebih besar ada pada kebijakan privasi. Berdasarkan konfirmasi silang dari artikel Substack IBTimes dan mitchthelawyer, kebijakan privasi yang berlaku untuk aplikasi Gedung Putih terakhir diperbarui pada 20 Januari 2025, tepat satu tahun penuh lebih awal sebelum aplikasi diluncurkan. Kebijakan tersebut hanya mencakup akses situs web, langganan email, dan halaman media sosial; sama sekali tidak menyebut konten terkait aplikasi seluler, pelacakan GPS, pengumpulan data lokasi, akses biometrik, dan sejenisnya. Saat pengguna mengklik “setuju”, yang disetujui adalah dokumen yang sama sekali tidak mencakup perilaku nyata aplikasi.

Naskah promosi yang disematkan dan pintu masuk pelaporan imigrasi

Aplikasi ini memiliki tombol fitur “kirim SMS kepada presiden”. Setelah diklik, teks kolom pesan akan otomatis terisi dengan satu kalimat: “Greatest President Ever!” (Presiden Terhebat Sepanjang Masa). Jika pengguna memilih untuk mengirim, sistem akan mengumpulkan nama dan nomor telepon mereka.

Selain itu, aplikasi ini juga menyematkan tombol pelaporan ICE. ICE adalah Badan Penegakan Imigrasi dan Bea Cukai AS (Immigration and Customs Enforcement), yang bertanggung jawab pada penegakan imigrasi dan operasi deportasi. Dengan mengklik tombol ini, pengguna akan langsung diarahkan ke halaman pelaporan informan ICE, di mana pengguna dapat melaporkan secara anonim orang-orang di sekitar yang diduga imigran ilegal.

Sebuah alat rilis berita pemerintah yang secara formal, sekaligus menjadi pintu masuk pengumpulan data untuk propaganda politik dan laporan penegakan. Kurang dari dua hari setelah peluncuran, pengguna platform X pada postingan promosi resmi Gedung Putih diberi catatan komunitas (Community Note) untuk mengingatkan pengguna lain agar mewaspadai risiko privasi.

Tidak hanya Gedung Putih: iklan di aplikasi FBI, FEMA perlu 28 izin

Sam Bent dalam investigasi yang sama melakukan audit Exodus terhadap aplikasi dari beberapa lembaga federal dan menemukan bahwa aplikasi Gedung Putih sama sekali bukan kasus yang terisolasi.

Aplikasi resmi FBI “myFBI Dashboard” meminta 12 izin, menyematkan 4 pelacak, termasuk Google AdMob, sebuah SDK penayangan iklan. Sebuah aplikasi resmi dari lembaga penegakan hukum federal tersebut menayangkan iklan terarah sekaligus membaca informasi identitas pengguna ponsel.

Aplikasi FEMA (Badan Manajemen Darurat Federal) meminta 28 izin; fungsi intinya hanya menampilkan peringatan cuaca dan lokasi tempat berlindung.

Aplikasi pengendalian paspor milik Kantor Pengamanan Perbatasan dan Kepabeanan (CBP) meminta 14 izin, di mana 7 di antaranya diklasifikasikan sebagai “izin berbahaya”, termasuk pelacakan lokasi secara latar belakang (aplikasi tetap melacak meskipun dimatikan) dan akses baca/tulis penyimpanan penuh. Retensi data wajah yang dikumpulkan oleh ekosistem aplikasi CBP mencapai 75 tahun, serta dibagikan antara Departemen Keamanan Dalam Negeri, ICE, dan FBI.

Pada lapisan yang lebih mendasar untuk pengadaan data, Departemen Keamanan Dalam Negeri, FBI, Departemen Pertahanan, dan Drug Enforcement Administration membeli lebih dari 15 miliar titik data lokasi setiap hari melalui perusahaan pialang data komersial seperti Venntel, mencakup lebih dari 250 juta perangkat, tanpa perlu surat perintah penggeledahan. Operasi ini pada dasarnya meniadakan perlindungan privasi data lokasi ponsel yang ditetapkan oleh Mahkamah Agung AS dalam perkara Carpenter v. United States pada 2018.

Sejumlah komentar di Hacker News merangkum logika yang sama dari aplikasi-aplikasi ini: pemerintah mengemas konten publik yang seharusnya bisa dipublikasikan melalui situs web atau RSS menjadi distribusi aplikasi native, dan satu-satunya penjelasan yang masuk akal adalah memperoleh izin tingkat sistem yang tidak disediakan oleh browser, termasuk pelacakan latar belakang, biometrik, pembacaan identitas perangkat, dan peluncuran otomatis saat perangkat dinyalakan.

Laporan Kantor Akuntabilitas Pemerintah AS (GAO) tahun 2023 menunjukkan bahwa dari 236 rekomendasi privasi dan keamanan yang dikeluarkan sejak 2010, hampir 60% hingga kini belum diterapkan. Kongres pernah diberi saran dua kali untuk mengesahkan undang-undang privasi internet yang komprehensif, namun sampai sekarang belum ada tindakan.