Chính phủ Mỹ áp dụng lệnh trừng phạt Huawei, vậy họ đã cài đặt SDK của Huawei vào ứng dụng chính thức của Nhà Trắng chưa?

作者：深潮 TechFlow

Chính quyền Trump ngày 27 tháng 3 đã ra mắt một ứng dụng tin tức chính thức, tuyên bố rằng cho phép người dùng “không lọc” và kết nối trực tiếp với thông tin từ Nhà Trắng.

Nhưng nhiều cuộc kiểm toán an ninh độc lập trong vòng 48 giờ đã phơi bày một thực tế mang tính châm biếm: trong gói cài đặt của ứng dụng này có nhúng các thành phần theo dõi của Huawei, và Huawei chính là công ty Trung Quốc mà chính phủ Mỹ đã tự đưa vào danh sách trừng phạt đen vì lý do an ninh quốc gia.

Ngoài ra, ứng dụng còn yêu cầu hàng loạt quyền hệ thống vượt xa nhu cầu của một ứng dụng tin tức, như định vị GPS, nhận dạng vân tay, tự khởi động khi bật máy, v.v.; Nền tảng X nhanh chóng gắn cảnh báo bằng ghi chú cộng đồng (Community Note) cho các bài đăng quảng bá chính thức của ứng dụng.

Một ứng dụng phát hành thông cáo tin tức và phát trực tiếp của tổng thống, tại sao lại cần đọc dấu vân tay của bạn?

Sau khi Sam Bent, một nhà nghiên cứu bảo mật, tiến hành phân tích ngược ứng dụng Nhà Trắng (số phiên bản 47.0.1), và quét bằng Exodus Privacy. Exodus Privacy là một nền tảng kiểm toán quyền riêng tư cho ứng dụng Android mã nguồn mở, chuyên phát hiện các trình theo dõi nhúng trong ứng dụng và các yêu cầu quyền truy cập; nó được sử dụng rộng rãi trong cộng đồng nghiên cứu quyền riêng tư. Kết quả quét cho thấy ứng dụng Nhà Trắng nhúng 3 trình theo dõi, trong đó có một trình là Huawei Mobile Services Core (thành phần cốt lõi dịch vụ di động Huawei).

IBTimes sau đó đưa tin độc lập về cùng một phát hiện, và nhà phân tích pháp lý mitchthelawyer cũng đăng bài trên Substack để xác nhận kết luận của báo cáo Exodus. Ba nguồn tin độc lập cùng trỏ đến cùng một sự thật: ứng dụng chính thức của Nhà Trắng thực sự có mã SDK của Huawei.

Cần nói rõ rằng, Huawei Mobile Services Core bản thân là một SDK đẩy tin và phân tích mà Huawei cung cấp cho hệ sinh thái Android toàn cầu; nhiều ứng dụng hướng đến thị trường quốc tế sẽ nhúng nó để tương thích với điện thoại Huawei.

Nó xuất hiện trong gói cài đặt không đồng nghĩa với việc nó đang chủ động truyền dữ liệu về Huawei. Nhưng vấn đề nằm ở chỗ:

Chính phủ Mỹ cấm doanh nghiệp trong nước làm ăn với Huawei vì lý do an ninh quốc gia, trong khi ứng dụng tổng thống chính thức của mình lại gắn mã của Huawei. Một bình luận trên Hacker News nêu thẳng vào điểm: rất có khả năng đây là cấu hình mặc định của nhà thầu gia công, tầng ra quyết định của Nhà Trắng có thể thậm chí không biết về sự tồn tại của SDK Huawei, “nhưng điều đó có lẽ còn đáng lo hơn việc cố ý nhúng”.

Danh sách quyền truy cập còn như công cụ hệ thống, nhưng chính sách quyền riêng tư lại dừng ở một năm trước

Các quyền mà ứng dụng Nhà Trắng yêu cầu bao gồm: định vị GPS chính xác, nhận dạng sinh trắc học bằng vân tay, đọc/ghi bộ nhớ, tự khởi động khi bật máy, cửa sổ nổi phủ lên ứng dụng khác, quét mạng Wi-Fi và đọc số huy hiệu thông báo. Để so sánh, AP News cung cấp các quyền cần thiết cho việc đẩy tin tức và đưa tin thảm họa tương tự, nhưng ít hơn rất nhiều so với ứng dụng này.

Báo cáo của IBTimes chỉ ra rằng nhà phát triển của ứng dụng thừa nhận plugin kỹ thuật ban đầu dùng để tách quyền vị trí “rõ ràng là đã không tách bất kỳ đoạn mã liên quan nào”.

Vấn đề lớn hơn nằm ở chính sách quyền riêng tư. Theo bài viết trên Substack của IBTimes và mitchthelawyer xác nhận chéo, chính sách quyền riêng tư áp dụng cho ứng dụng Nhà Trắng lần cập nhật cuối cùng vào ngày 20 tháng 1 năm 2025, sớm hơn đúng một năm so với thời điểm ứng dụng ra mắt. Chính sách này chỉ đề cập đến việc truy cập website, đăng ký email và các trang mạng xã hội; hoàn toàn không nhắc gì đến ứng dụng di động, theo dõi GPS, thu thập dữ liệu vị trí, quyền truy cập sinh trắc học và các nội dung liên quan. Khi người dùng nhấn “đồng ý”, người dùng đang đồng ý với một tài liệu về cơ bản không bao gồm các hành vi thực tế của ứng dụng.

Lời thoại quảng bá được nhúng và cổng khai báo tố cáo người nhập cư

Ứng dụng tích hợp một nút chức năng “Gửi tin nhắn cho Tổng thống”. Khi bấm vào, ô nhập văn bản tin nhắn sẽ tự động điền một câu: “Greatest President Ever！” (Tổng thống vĩ đại nhất từ trước đến nay). Nếu người dùng chọn gửi, hệ thống sẽ thu thập tên và số điện thoại của họ.

Ngoài ra, ứng dụng còn nhúng một nút tố cáo ICE. ICE là Cơ quan Thực thi Di trú và Hải quan Hoa Kỳ (Immigration and Customs Enforcement), chịu trách nhiệm thực thi di trú và các hoạt động trục xuất. Khi bấm vào nút này, nó sẽ chuyển thẳng đến trang tố cáo của ICE dành cho người cung cấp thông tin, nơi người dùng có thể ẩn danh tố cáo những người bị nghi ngờ là nhập cư trái phép.

Một công cụ truyền thông tin tức của chính phủ trên danh nghĩa, đồng thời đảm nhiệm cả thu thập dữ liệu cho tuyên truyền chính trị và cho việc tố cáo thực thi pháp luật. Chỉ chưa đầy hai ngày sau khi ra mắt, người dùng trên nền tảng X đã gắn ghi chú cộng đồng (Community Note) cho bài đăng quảng bá chính thức của Nhà Trắng, nhắc người dùng khác chú ý đến rủi ro về quyền riêng tư.

Không chỉ Nhà Trắng: App của FBI chạy quảng cáo, FEMA cần 28 quyền

Sam Bent, trong cùng một bài điều tra, đã thực hiện kiểm toán Exodus đối với ứng dụng của nhiều cơ quan liên bang và phát hiện ứng dụng Nhà Trắng không hề là trường hợp đơn lẻ.

Ứng dụng chính thức của FBI “myFBI Dashboard” yêu cầu 12 quyền, nhúng 4 trình theo dõi, trong đó có Google AdMob — một SDK phục vụ việc triển khai quảng cáo. Một ứng dụng chính thức của cơ quan thực thi pháp luật liên bang vừa đọc thông tin nhận dạng trên điện thoại người dùng, vừa triển khai quảng cáo nhắm mục tiêu.

Ứng dụng FEMA (Cơ quan Quản lý Tình trạng Khẩn cấp Liên bang) yêu cầu 28 quyền; chức năng cốt lõi chỉ là hiển thị cảnh báo thời tiết và vị trí các nơi trú ẩn.

Ứng dụng kiểm soát hộ chiếu của Cơ quan Hải quan và Bảo vệ Biên giới (CBP) yêu cầu 14 quyền, trong đó 7 quyền được phân loại là “quyền nguy hiểm”, bao gồm theo dõi vị trí ở chế độ nền (vẫn tiếp tục theo dõi ngay cả khi App đã tắt) và đọc/ghi bộ nhớ đầy đủ. Thời hạn lưu giữ dữ liệu khuôn mặt do toàn bộ hệ sinh thái ứng dụng của CBP thu thập lên tới 75 năm, và được chia sẻ giữa Bộ An ninh Nội địa, ICE và FBI.

Ở tầng mua dữ liệu sâu hơn, Bộ An ninh Nội địa, FBI, Bộ Quốc phòng và Cơ quan Chống ma túy (DEA) thông qua các công ty môi giới dữ liệu thương mại như Venntel, mỗi ngày mua hơn 150 tỷ điểm dữ liệu vị trí, bao phủ hơn 250 triệu thiết bị, không cần trát lệnh khám xét. Về bản chất, thao tác này đã lách qua cơ chế bảo vệ quyền riêng tư dữ liệu vị trí của điện thoại được Tòa án Tối cao Hoa Kỳ xác lập trong vụ Carpenter kiện Hoa Kỳ năm 2018.

Nhiều bình luận trên Hacker News đã tóm tắt logic chung của các ứng dụng này: chính phủ đóng gói nội dung công khai vốn có thể đăng bằng trang web hoặc RSS thành ứng dụng native phân phối; lời giải thích hợp lý duy nhất là để có được các quyền ở cấp hệ thống mà trình duyệt không cung cấp, bao gồm định vị nền, sinh trắc học, đọc định danh thiết bị và tự khởi động khi bật máy.

Báo cáo của Cơ quan Kiểm toán Chính phủ Hoa Kỳ (GAO) năm 2023 cho thấy, trong số 236 khuyến nghị về quyền riêng tư và an ninh được đưa ra từ năm 2010 đến nay, gần 60% vẫn chưa được thực hiện. Quốc hội đã từng được khuyến nghị thông qua hai lần một đạo luật quyền riêng tư Internet toàn diện, nhưng đến nay vẫn chưa có động thái nào.