我們攔截了白宮應用程式的流量:77% 的請求傳送至第三方服務
我們對白宮 iOS 應用程式進行了動態分析,發現其大部分網路流量被傳送至 OneSignal 和 Google 等第三方服務,這與其宣稱不收集數據的隱私聲明相矛盾。
背景
這篇報導是針對美國白宮官方 iOS 應用程式進行網路流量攔截的後續追蹤。研究人員透過 MITM 代理伺服器分析發現,該 App 在單次使用過程中產生的 206 次請求中,高達 77% 指向第三方服務,包含 OneSignal、Elfsight 及 Google DoubleClick 等追蹤與廣告平台。這項實測結果揭露了 App 會持續追蹤用戶的 IP 位址變動與裝置元數據,且與 App Store 上宣稱「不收集數據」的隱私聲明嚴重不符。
社群觀點
Hacker News 的討論主要圍繞在「政府 App 是否應被視為一般商業 App」以及「隱私標準的期待落差」這兩個核心議題。部分網友認為,這種高度依賴第三方 SDK 和追蹤器的做法在當前的 B2C 應用程式市場中極為普遍,甚至可以說是業界常態。他們指出,雖然 77% 的第三方請求比例偏高,但大多數大眾市場的 App 也有超過半數的流量指向第三方域名。從這個角度來看,白宮 App 並非表現得特別惡劣,而只是反映了整個軟體開發產業在追求效率時,普遍犧牲隱私與自主性的現狀。
然而,這種「業界常態」的辯護隨即遭到強烈反駁。反對者認為,政府官方應用程式不應被當作一般的商業 App 來開發,公眾對政府軟體的技術標準與隱私保護應有更高的期待。批評者指出,政府 App 採用與商業軟體相同的追蹤邏輯本身就是一個問題,尤其是當該 App 在隱私清單上標榜不收集數據,實測卻發現大量追蹤行為時,這已涉及誠信與合規性。討論中也出現了關於政府效能的爭論,有人諷刺地表示,或許是因為政府運作效率低落,才不得不將大量功能外包給第三方服務,但這種說法被認為是將技術上的懶惰或不負責任合理化。
此外,社群中也針對討論品質進行了反思。有網友觀察到,當技術問題涉及政治機構時,討論往往會從技術細節轉向政治立場的攻防,例如將議題導向「政府是否該像企業一樣運作」或是「遊說團體的影響」。這種轉向被視為一種轉移焦點的策略,掩蓋了 App 實際存在的安全風險,例如 Elfsight 的兩階段載入器允許伺服器端動態決定執行的腳本,這在安全性上存在潛在的注入風險。儘管有留言提到該 App 已在 App Store 更新了隱私聲明,但社群共識仍傾向於認為,官方 App 應在減少第三方依賴與提升透明度上做出表率,而非僅僅滿足於「不比私人企業差」的低標。
延伸閱讀
在討論串中,網友分享了關於此議題的早期討論紀錄,包含對該 App 進行靜態程式碼分析的初步發現,以及針對其安全架構的進一步辯論。這些連結提供了從程式碼反編譯到動態流量分析的完整背景資訊:
- Hacker News 關於白宮 App 靜態分析的討論 (ID: 47555556)
- 關於該 App 隱私爭議的後續追蹤討論 (ID: 47577761, 47581532)