我反編譯了白宮的新應用程式

背景

這篇文章源於一名開發者對美國白宮新發布的官方應用程式進行反編譯分析。該分析揭露了這款 App 包含多項令人不安的技術實作，包括頻繁的地理位置追蹤、缺乏憑證固定機制，以及最受爭議的行為：從個人 GitHub 頁面載入未經審核的 JavaScript 代碼，並在 WebView 中強制注入腳本以繞過第三方網站的 Cookie 同意聲明與付費牆。

社群觀點

在 Hacker News 的討論中，社群對這款 App 的評價呈現兩極化。一部分開發者認為這些發現反映了典型的「外包開發」亂象。他們指出，這看起來像是某間顧問公司直接套用了標準的行銷 App 框架，為了趕在截止日期前完工，開發者往往會使用各種臨時性的修補手段與現成的第三方套件。這種「業餘」的開發水準雖然在商業軟體中屢見不鮮，但出現在代表美國政府的官方應用程式上，卻顯得極其不專業且充滿資安隱患，特別是從個人 GitHub 帳號載入腳本的行為，被視為極易受到供應鏈攻擊的低級錯誤。

然而，針對 App 內建的「付費牆與 Cookie 橫幅繞過功能」，社群卻意外地出現了不少正面評價。部分網友戲稱，這可能是現任政府對普通大眾做出的少數貢獻之一，因為這些干擾性的網頁彈窗與登入限制本就是網路體驗的毒瘤，App 內建類似 uBlock Origin 的過濾功能反而提升了使用者體驗。但也有法律觀點指出，這種強制注入腳本移除同意聲明的行為，可能涉及法律爭議，因為這些橫幅往往是網站履行服務條款與法律合規的一部分，政府 App 帶頭規避顯得諷刺。

關於資安層面的爭論則集中在地理位置追蹤與憑證固定（Certificate Pinning）上。有留言指出，每隔幾分鐘就追蹤一次位置的行為對於政府 App 而言過於激進，且完全沒有必要。至於缺乏憑證固定，有網友認為這在一般網路環境下尚可接受，因為裝置不會輕易信任未知的憑證授權機構；但反對者反駁，在企業環境或受行動裝置管理（MDM）監控的設備上，這種缺失會讓中間人攻擊變得輕而易舉。整體而言，社群共識傾向於認為這款 App 是在缺乏嚴謹資安審核的情況下倉促上線的產物，反映了當前行政團隊在技術執行力上的混亂。

延伸閱讀

在討論中，網友特別提到了 lonelycpp 的 GitHub Pages，這是該 App 載入外部 JavaScript 的來源之一，引發了關於供應鏈安全與開源組件使用的廣泛討論。此外，uBlock Origin 的過濾規則也被多次提及，作為對比該 App 注入腳本行為的技術參照。