Чи американський уряд, який запровадив санкції проти Huawei, встановив SDK Huawei у офіційний додаток Білого дому?

Автор: Deep Tide TechFlow

Уряд Трампа 27 березня запустив офіційний новинний застосунок, який обіцяє дати користувачам «без фільтрів» прямий доступ до інформації Білого дому.

Але численні незалежні аудити з безпеки, проведені протягом 48 годин, викрили доволі іронічний факт: у встановлюваному пакеті цього застосунку вбудовані трекінгові компоненти від Huawei, і Huawei — це китайська компанія, яку сам уряд США включив до санкційного чорного списку з міркувань національної безпеки.

Крім того, застосунок вимагає цілий ряд системних дозволів, значно ширший за те, що потрібно новинному застосунку: GPS-локацію, розпізнавання за відбитком пальця, автозапуск при увімкненні тощо. Платформа X швидко супроводила його офіційні рекламні дописи примітками попередження від спільноти.

Застосунок, який випускає пресрелізи та транслює виступи президента, навіщо йому зчитувати ваш відбиток?

Після реверс-аналізу Білого дому App (версія 47.0.1) дослідник безпеки Сем Бент (Sam Bent) просканував застосунок через Exodus Privacy. Exodus Privacy — це платформа відкритого коду для аудиту приватності Android-застосунків, яка спеціалізується на виявленні трекерів, вбудованих у застосунки, та запитів дозволів; її широко використовують у спільноті дослідників приватності. Результати сканування показали, що в застосунку Білого дому вбудовано 3 трекери, один із яких — Huawei Mobile Services Core (компонент ядра мобільних сервісів Huawei).

IBTimes згодом незалежно повідомила про те саме відкриття, а правовий аналітик mitchthelawyer також опублікував на Substack матеріал, у якому підтвердив висновки звіту Exodus. Три незалежні джерела вказують на один і той самий факт: офіційний застосунок Білого дому дійсно містить код SDK від Huawei.

Потрібно пояснити, що Huawei Mobile Services Core сам по собі є SDK для push-повідомлень і аналітики, який Huawei надає для глобальної екосистеми Android; багато застосунків, орієнтованих на міжнародні ринки, вбудовують його, щоб сумісно працювати з телефонами Huawei.

Його наявність у встановлюваному пакеті не означає, що він активно повертає дані назад до Huawei. Але проблема в тому, що:

Уряд США з міркувань національної безпеки забороняє власним компаніям вести бізнес із Huawei, а у власному офіційному застосунку президента тим часом укомплектовано код Huawei. У коментарях на Hacker News це влучно сформулювали: це, ймовірно, типові налаштування підрядника-розробника; керівництво Білого дому може взагалі не знати про існування Huawei SDK, «але це, можливо, навіть тривожніше, ніж навмисне вбудовування».

Перелік дозволів як у системних інструментів, а політика приватності — на рівні річної давнини

Застосунок Білого дому запитує такі дозволи: точне GPS-позиціювання, біометричне розпізнавання за відбитком пальця, читання/запис у сховище, автозапуск під час увімкнення, плаваюче вікно з перекриттям інших застосунків, сканування Wi-Fi-мереж і читання значків сповіщень. Для порівняння, AP News надає схожі новинні push-повідомлення та репортажі про катастрофи, тож необхідні дозволи в рази менші.

У повідомленні IBTimes зазначено, що розробник застосунку визнав: технічний плагін, який нібито призначений для вилучення дозволів на локацію, «очевидно, не вилучив жодного релевантного коду».

Набагато серйозніше питання — приватність. За перехресним підтвердженням статей IBTimes і mitchthelawyer на Substack, політика приватності, що застосовується до застосунку Білого дому, востаннє оновлювалася 20 січня 2025 року — тобто рівно за рік до його запуску. Ця політика охоплює лише відвідування вебсайту, підписку на листи та сторінки в соцмережах; про мобільний застосунок, GPS-трекінг, збирання даних про місцезнаходження, доступ до біометричних даних та інше — немає жодного слова. Коли користувач натискає «згоден», він погоджується з документом, який узагалі не охоплює реальну поведінку застосунку.

Вбудовані рекламні фрази та вхід до доносу мігрантів

У застосунку є кнопка-функція «Надіслати SMS президентові». Після натискання поле тексту повідомлення автоматично заповнюється фразою: «Greatest President Ever!» («Найвидатніший президент в історії»). Якщо користувач обирає надіслати повідомлення, система збиратиме його ім’я та номер телефону.

Крім того, застосунок вбудовує кнопку доносу ICE. ICE — це Управління імміграції та митного контролю США (Immigration and Customs Enforcement), яке відповідає за правозастосування в міграційній сфері та дії щодо депортацій. Натискання цієї кнопки напряму переводить користувача на сторінку сайту інформаторів ICE, де він може анонімно донести на людей поруч, яких підозрюють у незаконній міграції.

Формально це інструмент розповсюдження урядових новин, але водночас він забезпечує точки входу для політичної пропаганди та збору даних для правозастосовного доносництва. Менш ніж за два дні після запуску користувачі платформи X для офіційного промо-допису Білого дому поставили примітку спільноти (Community Note), попереджаючи інших користувачів звернути увагу на ризики для приватності.

Не лише Білий дім: реклама в застосунку FBI, FEMA потрібні 28 дозволів

Сем Бент у тому ж розслідуванні зробив аудит Exodus для застосунків багатьох федеральних органів і з’ясував, що застосунок Білого дому аж ніяк не є одиничним випадком.

Офіційний застосунок FBI «myFBI Dashboard» запитує 12 дозволів і вбудовує 4 трекери, серед яких є Google AdMob — SDK для рекламного розміщення. Офіційний застосунок правоохоронного органу паралельно з читанням ідентифікаційної інформації користувача показує таргетовану рекламу.

Застосунок FEMA (Федеральне агентство з управління надзвичайними ситуаціями) запитує 28 дозволів, а ключова функція лише — показ попереджень про погоду та місць укриттів.

Застосунок для контролю паспортів Управління з питань митниці та охорони кордону (CBP) запитує 14 дозволів, з яких 7 класифікуються як «небезпечні дозволи», включно з трекінгом локації у фоновому режимі (відстеження навіть після закриття застосунку) та повним читанням/записом у сховище. Термін зберігання зібраних у межах застосункового екосистеми CBP даних обличчяся сягає 75 років, і їх спільно використовують між Міністерством внутрішньої безпеки, ICE та FBI.

На більш глибинному рівні закупівлі даних Міністерство внутрішньої безпеки, FBI, Міністерство оборони та Управління з боротьби з наркотиками через комерційних брокерів даних на кшталт Venntel щодня купують понад 15 млрд точок даних про локацію, охоплюючи понад 250 млн пристроїв, без будь-якого ордера на обшук. По суті, це обходить захист приватності даних про місцезнаходження мобільних телефонів, встановлений Верховним судом США у справі Carpenter v. United States 2018 року.

Кілька коментаторів на Hacker News підсумували спільну логіку цих застосунків: уряд пакує те, що могло б бути опубліковано через вебсайт або RSS, у нативні застосунки для розповсюдження; єдине розумне пояснення — отримання системних дозволів, які не надає браузер, зокрема фонове визначення локації, біометрія, зчитування ідентифікатора пристрою та автозапуск під час увімкнення.

Звіт Бюро урядової відповідальності США (GAO) за 2023 рік показує, що з 236 рекомендацій щодо приватності та безпеки, виданих із 2010 року, майже 60% досі не були впроваджені. Конгресу двічі рекомендували ухвалити комплексне законодавство про приватність в інтернеті, але станом на сьогодні дій не було.