当美国总统执行办公室于 2026 年 3 月 27 日在 App Store 发布官方移动应用时安全社区立即投以关注的目光。这款名为「The White House」的应用程序以「直接、无过滤地访问人民的宫殿」为卖点然而通过标准逆向工程技术 —— 无需任何漏洞利用或流量拦截 —— 安全研究员发现其安全实现存在系统性缺陷。从二进制层面的框架分析到 JavaScript 运行时行为审视八项关键发现揭示了这款政府应用在数据保护与用户隐私方面的严峻现实。
第三方脚本的运行时注入风险
对应用二进制进行标准工具分析(strings、nm、plutil)后最令人担忧的发现是应用内嵌入了六处来自 Elfsight 的第三方小组件。Elfsight 是一家最初在俄罗斯图拉创立现已迁至安道尔的 widget 服务商其 CDN 在每次页面加载时从 elfsightcdn.com/platform.js 拉取代码。这个脚本采用两阶段加载机制:首先从 CDN 获取主脚本随后向 core.service.elfsight.com/p/boot/ 发起请求获取配置与额外的脚本资源列表。关键问题在于该平台使用动态脚本注入而非预定义内容意味着服务器可以在任何时刻返回不同的代码且没有任何子资源完整性(SRI)哈希验证。每 个 WebView 都通过 ReactNativeWebView.postMessage() 与原生层建立通信桥梁如果 Elfsight 的服务器被入侵或受到胁迫任意 JavaScript 代码将被注入到数百万用户的设备上执行。政府应用不应该加载来自外国商业实体的运行时 JavaScript 更不应该在单一应用中重复六次。
隐私清单与实际行为的严重背离
iOS 应用需要通过 PrivacyInfo.xcprivacy 声明数据收集情况这相当于用户数据的营养成分标签。该应用声明的隐私清单显示「NSPrivacyCollectedDataTypes: []」(空数组)与「NSPrivacyTracking: false」然而二进制分析与框架符号分析揭示的事实截然不同。应用集成了十个 OneSignal 框架总计约 2.4 MB 其中包含 OneSignalLocation.framework(104 KB)提供完整的定位追踪管道符号分析发现了 sendLocation、requestLocation、setLocationWithLatitude:longitude: 等方法。此外 OneSignal 的行为分析管线通过 OSRequestSendOutcomesV2、OSRequestOnFocus 等请求发送活跃时长、网络类型、设备类型等数据并通过 OSRequestCreateUser 与 OSRequestIdentifyUser 处理用户身份。隐私清单的虚假声明直接违反 Apple App Store 审核指南第 5.1.2 条关于数据收集与存储的要求这种做法相当于在标签上标注「零卡路里」而实际销售的是芝士汉堡。
安全加固的系统性缺失
作为总统执行办公室发布的官方应用其安全防护措施近乎空白。安全审计团队对整个二进制文件与 JS bundle 进行了全面扫描寻找 TrustKit、SSLPinning、证书固定、越狱检测字符串(如 Cydia、MobileSubstrate、frida)或防篡改机制结果是一无所获。虽然代码中存在名为 SSL_PINNING_CONFIG 的变量与 secureFetch 包装器但反编译 Hermes 字节码后发现所谓的固定只是一个 JavaScript 级别的域名白名单验证机制实际检查逻辑仅将请求的 hostname 与 ["whitehouse.gov", "api.onesignal.com", "exp.host", "youtube.com", "googleapis.com"] 进行比对。没有任何 SHA-256 证书哈希、没有 TLS 层面的公钥固定 SocketRobot WebSocket 库虽然随 React Native 附带且支持固定但主二进制中从未引用它 —— 这完全是死代码。任何处于同一 WiFi 网络的攻击者(例如咖啡厅、机场或国会听证会现场)都可以通过自定义根证书拦截 API 流量越狱设备上的攻击者更可以在运行时动态修改应用行为。应用完全依赖 iOS 内置的 App Transport Security 而该机制可以通过安装自定义根证书轻易绑过。
远程参数控制的隐蔽权力
符号分析揭示了更令人不安的能力:OneSignalCore.framework 中存在 OSRemoteParamController 类它接受服务器端配置可远程启用或禁用 GPS 追踪功能以及修改隐私同意要求。具体方法包括 saveRemoteParams:、saveLocationShared:、savePrivacyConsentRequired:、hasLocationKey 与 hasPrivacyConsentKey。这意味着 OneSignal 的服务器可以在用户毫不知情的情况下通过远程参数「打开或关闭」定位追踪开关整个过程无需应用更新、无需 Apple 审核。Expo OTA 基础设施同样处于配置就绪状态虽然当前标记为禁用但只要项目账户管理员提交一次看似普通的错误修复更新将 EXUpdatesEnabled 切换为 true Apple 会因为代码看似无害而批准更新随后任意 JavaScript 代码可以被推送到所有已安装的设备上无需再经过 App Store 审查 —— 对于承载总统办公室印记的应用而言这是绕过唯一独立审查环节的远程代码部署管道。
这八项发现指向一个核心结论:该应用的安全设计未能匹配政府应用应有的标准。第三方脚本的动态执行、隐私声明与实际行为的巨大落差、证书固定的缺位、远程参数的可控性 —— 每一项都构成可落地的风险。从工程实践角度建议的改进方向包括移除所有 Elfsight 小组件并自托管社交媒体内容源、移除 OneSignalLocation 框架及相关的后台定位权限声明、修正隐私清单以准确反映全部数据收集类型、实现 TLS 层面的证书公钥固定、移除 Consent 横幅强制移除代码、添加越狱检测与防篡改机制、以及审计 OneSignal 远程参数配置表面或迁移至自托管推送基础设施。这些改进的技术门槛并不高一个熟练的 iOS 团队完全可以在单个迭代周期内完成但它们对于保护数百万用户的数据安全至关重要。
资料来源:本文核心事实与数据均来自 Atomic Computer 于 2026 年 3 月 27 日发布的《Security Analysis of the Official White House iOS App》安全分析报告该报告使用标准 macOS 工具(strings、nm、plutil)对从 App Store 免费下载的应用进行逆向工程分析未涉及任何非法入侵或流量拦截行为。