White House 앱은 끔찍한 보안 혼란
발행: (2026년 5월 6일 PM 08:00 GMT+9)
4 분 소요
원문: Slashdot
Source: Slashdot
개요
새로운 제출자 spazmonkey는 새로운 백악관 앱에 지속적인 GPS 추적부터 웹 콘텐츠의 안전하지 않은 처리까지 다양한 보안 및 프라이버시 문제가 존재한다고 보고했습니다.
기술 세부 사항
- 프레임워크: 이 앱은 React Native와 Expo SDK 54를 사용해 구축되었으며, 백엔드는 WordPress를 통해 맞춤형 REST API로 구동됩니다.
- GPS 추적:
- 앱은 포그라운드 상태에서는 4.5 분마다, 백그라운드 상태에서는 9.5 분마다 기기의 위치를 폴링합니다.
- 위도, 경도, 정확도, 타임스탬프 데이터를 OneSignal 서버로 전송합니다.
- 이러한 위치 권한은
AndroidManifest에 선언되지 않았으며, OneSignal SDK의 런타임 요청으로 하드코딩되어 있습니다.
- 외부 JavaScript: 앱은 YouTube 임베드를 위해 무작위 GitHub 계정에서 JavaScript를 로드합니다. 해당 계정이 침해될 경우, 임의의 코드가 앱의 WebView 내부에서 실행될 수 있습니다.
- SSL 인증서 핀닝: 핀닝이 구현되지 않아 공용 Wi‑Fi, 기업 프록시 또는 기타 침해된 네트워크에서 트래픽이 가로채질 위험이 있습니다.
- 인앱 브라우저 조작: 앱은 인앱 브라우저에서 열리는 모든 페이지에 JavaScript와 CSS를 주입하여 다음을 제거합니다:
- 쿠키‑동의 대화상자
- GDPR 배너
- 로그인 벽
- 유료 벽
- 개발 아티팩트: 프로덕션 빌드에
localhostURL과 같이 메트로 번들러를 가리키는 남은 개발 참조가 포함되어 있습니다.
프라이버시 우려
- 지속적인 위치 폴링은 사용자의 이동 경로와 습관을 드러낼 수 있습니다.
- 매니페스트 선언이 없으므로 사용자는 앱이 위치 데이터를 요청한다는 사실을 인지하지 못할 수 있습니다.
- 통제되지 않은 출처에서 외부 스크립트를 로드하면 악성 코드 실행 위험이 발생합니다.
- 동의 대화상자와 유료 벽을 제거하는 행위는 프라이버시 규정을 위반하고 사용자의 선택을 저해할 수 있습니다.
출처
- Android Headlines: “White House app is a terrifying security mess” – [link]
- Slashdot: Read more of this story at Slashdot – [link] (replace with actual URLs if available)