白宫官方安卓应用安全漏洞大揭秘 白宫应用安全漏洞曝光隐私与数据安全岌岌可危2026 年白宫在 App Store 和 Google Play 上发布了一款官方安卓应用宣称能“让用户无与伦比地接触特朗普政府”。然而安全研究人员反编译该应用后发现诸多严重安全问题。应用存在绕过 Cookie/付费墙的注入器每 4.5 分钟跟踪一次用户 GPS 位置还从个人 GitHub Pages 加载 JavaScript 代码存在极大安全隐患。注入器与跟踪器白宫应用的隐私侵犯之路该应用有一个用于打开外部链接的 WebView每次加载页面时会注入一段 JavaScript 代码隐藏 Cookie 横幅、GDPR 同意对话框、登录墙等内容。这意味着一款美国政府官方应用正在向第三方网站注入 CSS 和 JavaScript以去除它们的安全防护机制。位置跟踪方面尽管 Expo 配置中有 withNoLocation 插件但 OneSignal SDK 的原生位置跟踪代码已完全编译到 APK 中。只要满足 _isShared 标志开启、用户授予 Android 运行时位置权限、设备有位置提供者这三个条件就会按照 4.5 分钟的前台间隔和 9.5 分钟的后台间隔请求 GPS 数据并将相关数据同步到 OneSignal 的后端。供应链风险从个人 GitHub 到第三方平台的安全漏洞应用使用 react-native-youtube-iframe 库嵌入 YouTube 视频该库从个人 GitHub Pages 网站加载播放器 HTML。如果 lonelycpp GitHub 账户被攻破控制者可以向该应用的所有用户提供任意 HTML 和 JavaScript 代码并在 WebView 上下文中执行。此外应用还从 Elfsight 加载第三方 JavaScript 以嵌入社交媒体资讯其代码在应用的 WebView 中运行没有沙盒保护。同时应用还涉及 Mailchimp、Uploadcare、Truth Social、Facebook 等第三方基础设施这些都不是政府控制的存在数据泄露风险。开发遗留与安全缺失白宫应用的致命伤该应用使用标准的 Android TrustManager 进行 SSL 验证没有自定义证书固定。在 CA 被攻破的网络环境下应用与其后端之间的通信可能会被拦截和读取。生产环境中还存在一些草率的遗留问题如包含本地主机 URL、开发者的本地 IP 被硬编码、Expo 开发客户端被编译到发布版本中、Compose PreviewActivity 在清单文件中被导出等。编辑观点白宫官方应用的安全漏洞令人震惊凸显了政府应用在安全开发和管理上的严重不足。行业应加强安全审查杜绝此类漏洞保障用户隐私和数据安全。