ホワイトハウスのアプリが4.5分ごとにユーザーの正確な位置情報を追跡しているとの指摘

ドナルド・トランプ政権が公開したホワイトハウス公式アプリについて、ユーザーの正確な位置情報を4分30秒ごとに確認して第三者のサーバーへ同期するコードが埋め込まれていることを、ソフトウェア開発者が指摘しました。

I Decompiled the White House's New App
https://blog.thereallo.dev/blog/decompiling-the-white-house-app#consentpaywall-bypass-injector

White House App Found Tracking Users' Exact Location Every 4.5 Minutes via Third-Party Server | IBTimes UK
https://www.ibtimes.co.uk/white-house-app-gps-tracking-controversy-1788974

The White House Built a Surveillance App and Calls It a News Feed
https://mitchthelawyer.substack.com/p/the-white-house-built-a-surveillance

ホワイトハウス公式アプリは政府が発信するニュースや記者会見をメディアを介さず直接閲覧できるアプリです。また、移民関税執行局(ICE)の通報ページにリダイレクトする通報ボタンも搭載されています。

ソフトウェア開発者のThereallo氏はこのアプリを解析し、OneSignalというツールによってユーザーの位置情報が取得されていると指摘しました。

OneSignalはプッシュ通知を送信するために広く使われているツールです。Thereallo氏は、ホワイトハウス公式アプリはユーザーがアプリを開いているときは4分半ごと、開いていないときは10分ごとに位置情報を取得し、OneSignalなど外部のサーバーに送信していると主張しています。

ただ、インターナショナル・ビジネス・タイムズは別の開発者からの「位置情報追跡に関するコードはOneSignalのSDK内に存在するものの、アプリ自体はその機能を呼び出しておらず、インストール時にユーザーへ位置情報の許可を求めるプロンプトも表示されなかった」という意見を紹介しています。OneSignalのドキュメントでも、開発者が明示的に機能を有効化しない限り位置情報は収集されないとされています。

このほかにもアプリには複数の疑問点があることが指摘されています。

例えば、アプリが個人開発者のGitHub Pagesサイトから動画埋め込みのためのコードを読み込んでいるという点です。仮にこのGitHubアカウントが侵害された場合、アプリのすべてのユーザーに任意のコードを配信できるという脆弱(ぜいじゃく)性が存在します。

さらに、アプリは内蔵ブラウザを通じて開くすべてのウェブサイトにJavaScriptを挿入し、Cookie同意バナー、GDPR(EUの一般データ保護規則)同意ダイアログ、ログイン画面、サインアップ画面、ペイウォールを除外します。このような画面はウェブサイトが法規制に準拠するために必要なものですが、あえてそれを隠すという動作に法的な根拠はあるのかが疑問視されています。

加えて、アプリが共有ストレージ内容の変更または削除、指紋および生体認証ハードウェアの使用、ネットワーク接続およびWi-Fi接続、端末のスリープ防止、起動時実行など多様な権限を要求していることから、「中国レベルの監視権限が付与されている」とも指摘されています。

また、ローカルホストのURLが本番環境に紛れ込んでいるなど、開発のずさんさも暴露されています。

弁護士のミッチ・ジャクソン氏は「連邦政府のプライバシー法は、政府のアプリがアメリカ国民の位置情報データを収集・利用する方法を規定していないため、ユーザーはどのような情報が取られているのか知るよしもない」と指摘しました。