アメリカ政府公式アプリはGPS情報・指紋認証データ・顔画像などを収集している上に制裁対象のHuawei製SDKも搭載している

何気なくアプリをインストールした際、予想以上にさまざまな権限を要求されて驚いた経験がある人もいるはず。公開情報から重要な洞察を導き出すOSINT(Open Source Intelligence)の専門家であるサム・ベント氏が、アメリカ政府の公式アプリは大量の権限を取得してデータを収集しており、制裁対象であるHuaweiのSDK(Software Development Kit)も搭載されていると指摘しました。

Fedware: 13 Government Apps That Spy Harder Than the Apps They Ban
https://www.sambent.com/the-white-house-app-has-huawei-spyware-and-an-ice-tip-line/

アメリカ政府が提供しているホワイトハウス公式アプリはプレスリリースやライブ配信、政策アップデートの情報などを提供するとしています。しかし、このアプリは正確なGPS位置情報・生体指紋認証アクセス・ストレージの変更・起動時の実行・他のアプリ上への描画・Wi-Fi接続の表示・バッジ通知の読み取りといったさまざまな権限を要求しているとのこと。

また、ホワイトハウス公式アプリには3つの埋め込みトラッカーが搭載されており、そのうちひとつはHuaweiが提供しているHuawei Mobile Services(HMS Core)というトラッカーです。アメリカ政府はHuaweiを「国家安全保障上の脅威」と見なしており、国内におけるHuawei製通信機器の販売を禁止していますが、公式アプリにはHuawei製のツールが利用されているというわけです。

ベント氏はアプリにどのトラッカーと権限が埋め込まれているかを分析・記録するツール「Exodus Privacy」を使用して、アメリカ政府が提供しているすべての公式アプリの権限情報を調査しました。その結果、いくつかのアプリは「federal(連邦政府の)」と「malware(マルウェア)」を組み合わせた「Fedware(フェドウェア)」と呼べるようなものだったとベント氏は指摘しています。

たとえばFBIのニュースアプリであるmyFBI Dashboardはストレージの変更・Wi-Fiのスキャン・アカウントの検出・デバイス状態の読み取り・起動時の実行など12個の権限を要求します。また、4つのトラッカーが含まれており、そのうちのひとつはGoogleの広告配信SDKであるGoogle AdMobでした。

また、アメリカ合衆国連邦緊急事態管理庁(FEMA)の公式アプリは正確な位置情報を含む28個もの権限を要求しており、ベント氏は「主な機能が気象警報と避難所の場所を表示するアプリなのに、28個もの権限を要求するのです。比較のために言うと、AP通信のニュースアプリはこれと同じような災害報道をはるかに少ない権限で提供しています」と指摘しました。

アメリカ合衆国内国歳入庁(IRS)の公式アプリであるIRS2Goは10個の権限と3つのトラッカーが含まれていますが、IRSは必要なプライバシー影響評価に署名する前にこのアプリを一般公開しており、これはアメリカ合衆国行政管理予算局(OMB)の指針に違反しているとのこと。

中でもベント氏が問題視しているのが、アメリカ合衆国税関・国境警備局(CBP)が提供しているMobile Passport Controlというアプリです。これはアメリカ入国手続きの簡略化や待ち時間の削減を図るものですが、要求する14個の権限のうち7つは「危険な権限」に分類されるものでした。具体的には、バックグラウンドでの位置情報追跡・カメラへのアクセス・生体認証・外部ストレージへの完全な読み書き機能といった権限を要求していました。さらに、Mobile Passport Controlやその他のCBPアプリ全体でユーザーの顔画像を最大75年間保存し、国土安全保障省(DHS)・移民・関税執行局(ICE)・連邦捜査局(FBI)が共有するネットワークにデータを送信しているとのこと。

さまざまなアメリカ政府アプリについて、要求する権限の数(COUNT)とトラッカーの数(TRACKERS)を示したグラフが以下。CBP Passport(Mobile Passport Control)の棒グラフにある斜線は、その権限が危険なものであることを意味しています。

その上でベント氏は、アメリカ政府のアプリを避けているからといって安全とは限らないと指摘。実際に長官のカシュ・パテル氏は、FBIが人々の移動や位置情報の履歴を追跡するために位置情報データを購入していると認めています。また、2025年4月にはIRSが納税者情報をICEに提供する取り決めに合意していることが報じられています。

FBIはアメリカ国民の位置情報データを購入していると長官が発言 - GIGAZINE

ベント氏のレポートはソーシャルニュースサイトのHacker Newsでも話題となっています。あるユーザーは政府のアプリにHuawei製SDKが搭載されていることについて、「行政機関はこの会社(Huawei)が危険すぎると判断したため、私はこの会社のモニターを購入できません。それなのに公式アプリにSDKを組み込んでいるのですか！？意思決定者たちはおそらくその存在すら知らないでしょうし、アプリを開発した請負業者が勝手に追加しただけだろうということは理解していますが、それはもっと悪いことかもしれません」とコメントしました。

Fedware: Government apps that spy harder than the apps they ban | Hacker News
https://news.ycombinator.com/item?id=47577761