美国联邦政府提供的官方移动应用程序近期陷入隐私与安全争议。开源情报(OSINT)专家山姆·本特(Sam Bent)通过分析发现,包括白宫在内的多个政府官方应用不仅索取了远超功能需求的敏感权限,还意外集成了受美国制裁的华为软件开发工具包(SDK)。这一发现揭示了美国政府应用在数据收集与供应链合规方面存在的严重矛盾。
白宫官方应用旨在发布新闻稿、直播及政策更新,但其索取的权限却令人咋舌。该应用要求获取**的GPS位置信息、生物指纹认证访问权限、存储修改权限、开机自启动权限、在其他应用上绘制图形的权限、Wi-Fi连接显示权限以及通知徽章读取权限等。这些权限组合使得该应用能够全方位监控用户设备状态及行踪,远超其作为信息发布工具的必要范围。
更令人震惊的是,该应用内嵌了三个追踪器,其中一个是华为移动服务(HMS Core)提供的追踪组件。美国政府长期以来将华为视为“国家安全威胁”,禁止其通信设备在国内销售,但官方应用却使用了华为的技术工具。本特利用隐私分析工具"Exodus Privacy"调查了所有美国政府官方应用,发现部分应用权限之广、追踪器之多,甚至可被称为“联邦恶意软件”(Fedware)。
其他联邦机构的应用同样存在类似问题。FBI的myFBI Dashboard应用索取了12项权限,包括存储修改、Wi-Fi扫描、账户检测等,并内置了Google AdMob广告SDK。联邦紧急事务管理署(FEMA)的官方应用索取了多达28项权限,包括**位置信息。本特指出,该应用主要功能是发布气象警报和避难所位置,却需要如此多的权限,相比之下,美联社(AP)的同类新闻应用仅需极少权限即可完成报道。
美国国税局(IRS)的IRS2Go应用包含10项权限和3个追踪器,但在公开发布前并未签署必要的隐私影响评估,违反了美国行政管理和预算局(OMB)的指南。最严重的是美国海关与边境保护局(CBP)的Mobile Passport Control应用,该应用用于简化入境流程,却索取了14项权限,其中7项被归类为“危险权限”,包括后台位置追踪、摄像头访问、生物认证及外部存储的完全读写功能。此外,该应用及其关联网络可能将用户面部图像保存长达75年,并传输至国土安全部、移民海关执法局(ICE)及FBI共享的网络。
本特的报告指出,即便不安装政府应用,用户也无法完全避免监控。FBI局长卡什·帕特尔已承认FBI会购买民众的位置历史数据。2025年4月更有报道指出,IRS同意向ICE提供纳税人信息。这一系列事件在黑客新闻(Hacker News)等社区引发热议,有用户质疑:既然政府认为华为危险到不能购买其硬件,为何官方应用却集成了其SDK?这暗示了决策层可能并不知情,或是承包商擅自添加,后者性质更为恶劣。