Uradna aplikacija Bele hiše za pametne telefone, ki jo je administracija predsednika ZDA za pametne telefone z operacijskima sistemoma Android in iOS izdala konec marca letos, je varnostna nočna mora, svarijo strokovnjaki za kibernetsko varnost.
V Beli hiši so aplikacijo, ki je uporabnikom mobilnih naprav na voljo od 28. marca letos, opisali kot način za “neposreden dostop do administracije predsednika ZDA Donalda Trumpa”.
Aplikacija na enem mestu združuje novice in uradne objave Bele hiše, prenose Trumpovih govorov in tiskovnih konferenc Bele hiše v živo, večpredstavnostne vsebine in možnost (poskusa) vzpostavitve stika s predstavništvom Bele hiše za odnose z javnostmi oziroma za pošiljanje povratnih informacij ali komentarjev.
Nekateri kritiki so aplikacijo sicer takoj označili za prozorno propagando Bele hiše oziroma administracije Donalda Trumpa, po mnenju strokovnjakov za kibernetsko varnost pa je pomembnejše, da gre za pravo varnostno nočno moro.
Foto: Shutterstock
Kaj vse je narobe
Kot poroča tehnološki portal Android Headlines, ki se med drugim sklicuje na ugotovitve varnostnega raziskovalca Thereallo (vzdevek), uradna aplikacija Bele hiše vsebuje prikrite zmožnosti za sledenje uporabnikom, razmeroma šibke varnostne protokole, del kode pa celo naloži iz repozitorija na spletni strani za programerje Github, ki pripada neki povsem naključni osebi.
“Uradno” uporabniku ne sledi. Neuradno pa bi mu lahko, če se nekdo tako odloči.
“Čeprav uradno ne spremlja uporabnikove lokacije, ima aplikacija Bele hiše vgrajen kompleten mehanizem za sledenje prek GPS, ki je nastavljen tako, da uporabnikovo aplikacijo zabeleži vsake 4,5 minute, če je aplikacija aktivna, in vsakih devet minut, če deluje v ozadju. Nekateri varnostni strokovnjaki opozarjajo, da se sledenje uporabniku začne le, če ga aktivira razvijalec aplikacije, a je kljub temu še vedno tam in ždi v pripravljenosti, če se bo to morda zgodilo. Pametni telefon od aplikacije sicer ne prejme nobenih zahtev po odobritvi dovoljenja za sledenje lokaciji,” so zapisali pri Android Headlines.
A to je šele vrh ledene gore nenavadnih in potencialno nevarnih funkcij aplikacije, opozarjajo.
Aplikacija Bele hiše domnevno ponuja “še nikoli viden dostop do administracije Donalda Trumpa”.
Foto: Reuters
Zelo zaupajo neznancu z Githuba
Aplikacija Bele hiše kodo Javascript, ki jo potrebuje za normalno delovanje, namreč nalaga neposredno iz ene od shramb (repozitorijev) na spletni strani za programerje Github, ki ni v lasti katerega od tehnoloških podjetij ali razvijalcev aplikacije, temveč povsem naključne osebe. “Če ta uporabniški račun kdaj postane kompromitiran, bi lahko nepridipravi znotraj aplikacije poganjali lastno kodo,” svarijo.
Prav tako v aplikaciji ni prisoten varnostni mehanizem, tako imenovano pripenjanje certifikatov SSL (SSL certificate pinning), ki predpostavlja da aplikacija ne zaupa vsakemu veljavnemu HTTPS certifikatu, temveč zaupa samo točno določenemu certifikatu oziroma javnemu ključu strežnika. To pomeni, da bi internetni promet prek aplikacije potencialno lahko prestrezali na kompromitiranih omrežjih, opisujejo težavo.
Aplikacija s tem, da nanjo vrine lastno kodo, tudi spremeni tako rekoč vsako pletno stran, ki jo uporabnik obišče prek vgrajenega brskalnika neposredno v aplikaciji. Pri tem odstranjuje različne omejitve in obvestila, kot je denimo obvestilo o piškotkih ali o zbiranju podatkov, kar je z vidika obveščanja uporabnika o tem, kaj vse bo delil s spletno stranjo, lahko problematično.
Objava Bele hiše na družbenem omrežju X, ki je pospremila izid aplikacija, je sicer opremljena tudi z javnim pripisom oziroma opomnikom, da aplikacija predstavlja potencialno varnostno grožnjo:
🇺🇸 🚀 LAUNCHED: THE WHITE HOUSE APP
Live streams. Real-time updates. Straight from the source, no filter.
The conversation everyone’s watching is now at your fingertips.
Download here ⬇️
📲 App Store: https://t.co/VC8lwiyO0G
📲 Google Play Store: https://t.co/zFjVcveGOV pic.twitter.com/xxaaSr1irC
— The White House (@WhiteHouse) March 27, 2026