트럼프의 새로운 White House 앱은 보안 및 프라이버시 악몽

Source: Mashable Tech

개요

도널드 트럼프 대통령의 새로운 백악관 앱이 iOS와 Android 기기용으로 출시되었습니다. X(구 트위터)에서 공식 백악관 계정이 이 앱을 홍보하며 “출처에서 직접” 실시간 스트리밍 및 업데이트를 제공한다고 밝혔습니다.

하지만 앱을 다운로드하면 트럼프 행정부가 사용자의 방대한 데이터를 수집할 수 있습니다.

요청된 권한

앱은 다음 권한을 요청합니다:

• 정밀 위치 데이터 접근
• 네트워크 연결 상태 읽기
• 지문 및 생체 인증 데이터 사용
• 기기가 잠자기 모드에 들어가지 않도록 방지
• 공유 저장소의 내용 수정 또는 삭제

보안 분석 결과

데이터 수집

X 사용자 @Thereallo1026이 앱을 디컴파일한 결과, 사용자의 정확한 위치를 4.5분마다 제3자 서버에 전송한다는 사실을 발견했습니다. 해당 서버는 푸시 알림 서비스인 OneSignal에 속해 있으며, 위치 데이터를 활용해 타깃 캠페인을 진행할 수 있습니다. 이 앱은 사용자가 이민 및 관세 집행국(ICE)에 사람을 신고하도록 장려하기 때문에 우려가 커집니다.

제3자 콘텐츠 로딩

분석 결과, 앱이 개인 GitHub 페이지에 호스팅된 YouTube 동영상 임베드를 로드한다는 점도 밝혀졌습니다. 해당 GitHub 계정이 해킹당하면 공격자는 모든 앱 사용자에게 임의의 HTML 및 JavaScript를 제공할 수 있습니다.

인앱 브라우저 수정

앱에 내장된 웹 브라우저는 CSS와 JavaScript를 주입해 다음 요소들을 제거합니다:

• 쿠키 동의 프롬프트
• GDPR 배너
• 로그인 폼
• 제3자 사이트의 페이월

보안 및 프라이버시 영향

• 위치 추적: 지속적인 정밀 위치 보고는 사용자의 이동 경로를 감시하는 데 활용될 수 있습니다.
• 제3자 의존: OneSignal 및 외부 GitHub 페이지에 의존함으로써 추가적인 공격 경로가 생깁니다.
• 콘텐츠 조작: 동의 및 보안 프롬프트를 제거하면 사용자 프라이버시 보호가 약화되고 악성 콘텐츠에 노출될 위험이 있습니다.

결론

공식 백악관 앱을 다운로드하려는 경우, 이 앱이 요구하는 광범위한 권한과 독립적인 분석을 통해 확인된 보안·프라이버시 위험을 인지하시기 바랍니다.