그 새로운 화이트 하우스 앱은 내부에 여러 가지 문제가 있어 보인다

Source: Android Authority

TL;DR

• 백악관은 지난 주에 Android와 iOS용 새로운 앱을 출시했습니다.
• 처음 보기에는 이 앱이 이미 제공되고 있는 뉴스 소스를 단순히 모아 보여주는 앱처럼 보였습니다.
• 최근 진행된 해부(teardown) 결과, 이 앱이 몇 가지 우려되는 관행을 사용하고 있음이 드러났습니다.

Overview

지난 주 현 미국 행정부는 Android와 iOS용 공식 백악관 앱을 공개했습니다. 초기 인상은 별다른 기능 없이 기존에 다른 곳에서 제공되는 콘텐츠를 모아 보여주는 저렴한 래퍼(wrapper) 수준이라는 것이었습니다. 주말 동안 개발자들이 앱을 분석하면서 작동 방식을 파악했고, 여러 보안 관련 문제가 발견되었습니다.

Teardown Findings

Core Platform

이 앱은 본질적으로 WordPress 기반의 콘텐츠 포털입니다. 이는 백악관 뉴스와 정보를 제공한다는 공식 목적과 일치합니다.

Custom JavaScript Injection

앱에는 로드하는 모든 웹 페이지에 맞춤형 JavaScript를 삽입하는 루틴이 포함되어 있습니다. 이를 통해 GDPR 알림, 쿠키 배너, 심지어 로그인 화면까지 우회합니다. 기술적으로 가능하긴 하지만, 이러한 동작은 프라이버시 우려를 불러일으키며 외부 사이트의 서비스 약관을 위반할 가능성이 있습니다.

External Code Loading

상당량의 코드가 실행 시 외부 제3자 저장소에서 로드됩니다. 앱은 이러한 리소스가 안전하다고 가정하지만, 해당 저장소가 침해될 경우 백악관 앱 사용자가 악성 코드를 받을 위험이 있습니다. 이는 정부 발행 애플리케이션에 있어 심각한 보안 위협입니다.

Location Tracking

앱은 위치 권한을 요청하고 정기적으로 사용자 위치 데이터를 수집할 수 있는 인프라를 포함하고 있습니다. 기능 자체가 악의적이라고 단정할 수는 없지만, 사용자는 이 앱이 자신의 위치를 추적할 수 있다는 점을 인지해야 합니다.

Conclusion

새로운 백악관 앱의 구현은 의심스러운 보안 관행과 제3자 지적 재산권에 대한 무시 때문에 문제적입니다. 이러한 이슈들은 공식 정부 애플리케이션에 대한 신뢰를 저해합니다.