アプリには「大統領にテキストメッセージを送る」という機能のボタンが内蔵されています。クリックすると、メッセージの入力欄に自動的に次の一文が入ります。「Greatest President Ever!」(史上最も偉大な大統領)。ユーザーが送信を選ぶと、システムはその氏名と携帯電話番号を収集します。
さらにアプリには、ICE(移民・税関執行局)通報ボタンも組み込まれています。ICEは米国の移民・税関執行局(Immigration and Customs Enforcement)で、移民執行や強制送還行動を担います。このボタンをクリックすると、ICEの情報提供者(密告者)向け通報ページに直接移動し、ユーザーは匿名で、自分の周りにいる違法移民の疑いがある人を通報できます。
より下層のデータ調達の層においては、国土安全保障省、FBI、国防省、麻薬取締局が、Venntelなどの商用データブローカーを通じて毎日150億を超える位置データポイントを購入し、2億5000万台以上の端末をカバーしています。令状は不要です。この操作は、米国最高裁が2018年にCarpenter v. United Statesで確立した携帯電話の位置データのプライバシー保護を実質的に回避しています。
アメリカ政府は華為に制裁を科し、華為のSDKをホワイトハウス公式アプリに装入したのか?
作者:深潮 TechFlow
トランプ政権は3月27日、公式ニュースアプリを立ち上げ、ユーザーに「フィルターなしで」ホワイトハウスの情報に直結できると称しました。
しかし複数の独立したセキュリティ監査により、48時間以内に皮肉にも思える事実が明らかになりました。このアプリのインストールパッケージにはファーウェイのトラッキングコンポーネントが埋め込まれており、ファーウェイはまさに米政府自身が国家安全保障を理由に制裁ブラックリストに載せている中国企業だというのです。
さらにこのアプリは、GPSの位置情報、指紋認証、起動時の自動起動など、一連のニュースアプリにしては明らかに過剰なシステム権限を要求し、X(旧Twitter)はその公式のプロモーション投稿に対して、コミュニティの注記による警告を素早く付けました。
ニュースリリースと大統領の生中継を行うアプリなのに、なぜあなたの指紋を読み取る必要があるのですか?
セキュリティ研究者のSam Bentは、ホワイトハウスアプリ(バージョン番号 47.0.1)について逆向き解析を行い、Exodus Privacyでスキャンしました。Exodus Privacyは、オープンソースのAndroidアプリのプライバシー監査プラットフォームで、アプリに内蔵されたトラッカーや権限要求を専門的に検出し、プライバシー研究コミュニティで広く使われています。スキャン結果では、ホワイトハウスアプリに3つのトラッカーが埋め込まれており、そのうちの1つがHuawei Mobile Services Core(華為モバイルサービスコア)だと示されました。
IBTimesはその後、同じ発見を独自に報道し、法律分析者のmitchthelawyerもSubstackで記事を公開して、Exodusのレポート結論を裏付けました。3つの独立した情報源はいずれも同一の事実を指しています。ホワイトハウスの公式アプリには確かにHuaweiのSDKコードが含まれているのです。
説明しておくと、Huawei Mobile Services Coreそのものは、ファーウェイが世界のAndroidエコシステム向けに提供するプッシュおよび分析SDKであり、国際市場を対象とする多くのアプリが、ファーウェイ端末に対応するためにこれを組み込んでいます。
それがインストールパッケージに含まれていることは、それが主にファーウェイへデータを能動的に送信していることを意味しません。ただし問題は次の点にあります。
米政府は国家安全保障を理由に自国企業がファーウェイと取引することを禁じているのに、自分たちの大統領公式アプリにはファーウェイのコードが入っている。Hacker Newsのコメントは鋭い指摘でした。「おそらくは外注の請負業者によるデフォルト設定で、ホワイトハウスの意思決定層がファーウェイSDKの存在をそもそも知らない可能性がある。だがそれでも、わざと埋め込んだ場合以上に懸念すべきかもしれない」。
権限リストはシステムツール並み、プライバシーポリシーは1年前のまま
ホワイトハウスアプリが要求する権限には、正確なGPS位置情報、指紋の生体認証、ストレージの読み書き、起動時の自動起動、他のアプリに重ねて表示するフローティングウィンドウ、Wi-Fiネットワークのスキャン、通知のバッジ角標の読み取りが含まれます。比較として、AP Newsが提供する同種のニュース配信および災害報道では必要な権限はこれよりはるかに少ないです。
IBTimesの報道によれば、アプリ開発者は、位置情報権限を剥がすために本来使われる技術プラグイン「明らかに、関連コードを何も剥がしていない」ことを認めています。
より大きな問題はプライバシーポリシーです。IBTimesとmitchthelawyerのSubstack記事が相互に確認したところでは、ホワイトハウスアプリに適用されるプライバシーポリシーの最終更新日は2025年1月20日で、アプリの公開よりちょうど1年早いのです。このポリシーは、ウェブサイトへのアクセス、メール購読、ソーシャルメディアのページのみを対象としており、モバイルアプリ、GPS追跡、位置データの収集、生体認証のアクセスなどについては一言も触れていません。ユーザーが「同意」をクリックしたとき、同意しているのは、アプリの実際の挙動をそもそも含まない文書です。
埋め込まれた宣伝コピーと移民通報の入口
アプリには「大統領にテキストメッセージを送る」という機能のボタンが内蔵されています。クリックすると、メッセージの入力欄に自動的に次の一文が入ります。「Greatest President Ever!」(史上最も偉大な大統領)。ユーザーが送信を選ぶと、システムはその氏名と携帯電話番号を収集します。
さらにアプリには、ICE(移民・税関執行局)通報ボタンも組み込まれています。ICEは米国の移民・税関執行局(Immigration and Customs Enforcement)で、移民執行や強制送還行動を担います。このボタンをクリックすると、ICEの情報提供者(密告者)向け通報ページに直接移動し、ユーザーは匿名で、自分の周りにいる違法移民の疑いがある人を通報できます。
名目上は政府のニュース発信ツールであると同時に、政治的な宣伝と執行通報のためのデータ収集への入口を担っているのです。公開から2日も経たないうちに、Xのユーザーはホワイトハウス公式のプロモーション投稿にコミュニティの注記(Community Note)を付け、他のユーザーにプライバシーのリスクに注意するよう促しました。
ホワイトハウスだけではない:FBIアプリが広告を配信し、FEMAは28項目の権限を要求
Sam Bentは同じ調査の中で、複数の連邦機関のアプリに対してExodus監査を行い、ホワイトハウスアプリが決して孤例ではないことを見つけました。
FBI公式アプリ「myFBI Dashboard」は12項目の権限を要求し、4つのトラッカーを内蔵しており、その中には広告配信SDKであるGoogle AdMobが含まれています。ある連邦捜査機関の公式アプリは、ユーザーの携帯端末の身元情報を読み取る一方で、ターゲティング広告を配信しているのです。
FEMA(連邦緊急事態管理庁)アプリは28項目の権限を要求し、主要機能は天候の警報とシェルターの位置を表示することだけです。
税関国境警備局(CBP)のパスポート管理アプリは14項目の権限を要求し、そのうち7項目が「危険な権限」に分類されています。バックグラウンドでの位置追跡(アプリを閉じた後も追跡する)や、ストレージの完全な読み書きが含まれます。CBPのアプリのエコシステムによって収集される顔データの保存期間は最長75年に達し、国土安全保障省、ICE、FBIの間で共有されます。
より下層のデータ調達の層においては、国土安全保障省、FBI、国防省、麻薬取締局が、Venntelなどの商用データブローカーを通じて毎日150億を超える位置データポイントを購入し、2億5000万台以上の端末をカバーしています。令状は不要です。この操作は、米国最高裁が2018年にCarpenter v. United Statesで確立した携帯電話の位置データのプライバシー保護を実質的に回避しています。
Hacker Newsの複数のコメント投稿者は、これらのアプリの共通するロジックを次のようにまとめました。政府は、ウェブページやRSSで公開できた公開コンテンツを、ネイティブアプリ配信にパッケージして配布している。唯一もっともらしい説明は、ブラウザが提供しないシステムレベルの権限、つまりバックグラウンドのロケーション、生体認証、端末の身元情報の読み取り、起動時の自動起動を得るためだということです。
米会計検査院(GAO)の2023年の報告書によれば、2010年以来に出された236件のプライバシーと安全保障に関する勧告のうち、今日に至るまで実施された割合はほぼ60%です。議会は、包括的なインターネット・プライバシー立法を2度勧められてきましたが、今のところ動きはありません。