Decompiling der offiziellen White-House-App offenbart Tracking- und externe Code-Strukturen

• Die offizielle White-House-App auf Basis von React Native nutzt ein WordPress-Backend, Expo SDK 54 und die Hermes-Engine und fungiert als Portal für Inhalte wie Nachrichten, Fotos und Politik
• In allen WebViews ist JavaScript-Injektionscode enthalten, der Cookie-Banner, GDPR-Einwilligungsfenster, Paywall-Elemente usw. automatisch entfernt
• Funktionen zur Standortverfolgung und zum Nutzer-Profiling über das OneSignal SDK sind vollständig enthalten; GPS-Daten können im Abstand von 4,5 bis 9,5 Minuten erfasst werden
• Die App lädt externe kommerzielle Dienste wie GitHub Pages, Elfsight, Mailchimp, Uploadcare, Truth Social und birgt damit Supply-Chain-Risiken und Tracking-Möglichkeiten
• Kein SSL-Pinning, enthaltene Entwicklungsressourcen und mögliche Ausführung externen Codes werfen für eine offizielle Regierungs-App Sicherheits- und Datenschutzbedenken auf

App-Überblick

• Die offizielle White-House-App ist eine im App Store und bei Google Play veröffentlichte Anwendung auf Basis von React Native
  • Verwendung von Expo SDK 54 und der Hermes JavaScript Engine
  • Das Backend basiert auf WordPress mit einer angepassten REST-API-Struktur
  • Laut Expo-Konfiguration ist der Hersteller als „forty-five-press“ angegeben
• Die App-Logik ist in ein 5,5 MB großes Hermes-Bytecode-Bundle kompiliert, während der native Code nur als einfacher Wrapper dient
• Version 47.0.1, Build 20, mit aktiviertem Hermes und aktivierter New Architecture

Expo-Konfiguration

• Enthalten sind die beiden Plugins withNoLocation und withStripPermissions
  • Vermutlich für das Entfernen von Standortinformationen und das Strippen von Berechtigungen zuständig
• OTA-Updates deaktiviert; die Expo-Update-Infrastruktur ist zwar enthalten, aber nicht aktiv

Tatsächliche Funktionen der App

• Die Analyse der String-Konstanten im Hermes-Bundle zeigt, dass die App Inhalte über die WordPress-REST-API von whitehouse.gov lädt
  • Wichtige Endpunkte sind /wp-json/whitehouse/v1/home, /news/articles, /wire, /live, /galleries, /issues, /priorities, /achievements, /affordability, /media-bias, /social/x usw.
• In den App-Strings finden sich "THE TRUMP EFFECT", "Greatest President Ever!", "Text President Trump", "Visit TrumpRx.gov", "Visit TrumpAccounts.gov"
• Außerdem ist der Link https://www.ice.gov/webform/ice-tip-form direkt enthalten
• Insgesamt fungiert die App als Portal für Nachrichten, Livestreams, Fotos, Politik, Social Feeds und PR-Inhalte der Administration

Skript zum Blockieren von Cookie-Bannern und Paywalls

• In WebViews, die externe Links öffnen, wird bei jedem Seitenaufbau JavaScript-Injektionscode ausgeführt
  • Dieses Skript blendet Cookie-Banner, GDPR-Einwilligungsfenster, Login-/Registrierungsbarrieren, Upsell-/Paywall-Elemente und CMP-Boxen aus
  • body { overflow: auto !important } wird erzwungen, um Scroll-Sperren aufzuheben
  • Über MutationObserver werden auch neu hinzugefügte Einwilligungsfenster fortlaufend entfernt
• Damit ergibt sich eine Struktur, bei der eine offizielle US-Regierungs-App Code injiziert, der Cookie-, GDPR- und Paywall-Elemente auf Websites Dritter entfernt

Infrastruktur zur Standortverfolgung

• Trotz des Plugins withNoLocation ist der Standortverfolgungs-Code des OneSignal SDK vollständig enthalten
  • Es gibt drei Bedingungen für die Aktivierung des Trackings
    1. Das Flag _isShared ist auf true gesetzt (bei Aufruf von setLocationShared(true))
    2. Der Nutzer erlaubt zur Laufzeit die Standortberechtigung
    3. Auf dem Gerät ist ein Standortanbieter (GMS/HMS) vorhanden
  • Sind die Bedingungen erfüllt, werden GPS-Abfragen im Abstand von 4,5 Minuten (Vordergrund) bzw. 9,5 Minuten (Hintergrund) ausgeführt
  • Erfasste Daten: Breitengrad, Längengrad, Genauigkeit, Zeitstempel, Vordergrund-/Hintergrundstatus, Standortpräzision
  • Die Daten werden über das PropertiesModel von OneSignal mit dem Server synchronisiert
  • Auch ein Hintergrunddienst ist enthalten, sodass Standortdaten selbst bei inaktiver App erfasst werden können
• Ob im JS-Bundle tatsächlich setLocationShared aufgerufen wird, ließ sich nicht verifizieren, aber die gesamte Pipeline ist in aktivierbarem Zustand kompiliert

OneSignal-Nutzerprofiling

• Das OneSignal SDK dient nicht nur für Push-Benachrichtigungen, sondern auch für Verhaltens-Tracking und Nutzersegmentierung
  • Wichtige Funktionen: addTag, addSms, addAliases, addOutcomeWithValue, addUniqueOutcome, notificationClicked, inAppMessageClicked, permissionChanged, subscriptionChanged, userStateChanged, setPrivacyConsentRequired, setPrivacyConsentGiven usw.
  • Die lokale Datenbank protokolliert Empfang, Öffnung und Ignorieren von Benachrichtigungen
• Dadurch werden letztlich Standortdaten, Interaktionen mit Benachrichtigungen, Klicks auf In-App-Nachrichten, Telefonnummern, Tags und Statusänderungen an die OneSignal-Server übertragen

Supply-Chain-Risiken: Laden externen Codes

• GitHub Pages

  • Die Bibliothek react-native-youtube-iframe lädt HTML von lonelycpp.github.io
  • Wird dieses GitHub-Konto kompromittiert, kann beliebiges JavaScript innerhalb der WebView der App ausgeführt werden

• Elfsight-Widget

  • Social Feeds werden über platform.js von Elfsight eingebettet
  • Kommerzieller SaaS-Code wird ohne Sandboxing ausgeführt; Tracking ist möglich
  • Die Widget-ID 4a00611b-befa-466e-bab2-6e824a0a98a9 ist hartkodiert

• Weitere externe Dienste

  • Mailchimp: Verarbeitung von E-Mail-Abos (whitehouse.us10.list-manage.com)
  • Uploadcare: Bild-Hosting (ucarecdn.com)
  • Truth Social: Trump-Profil und „Follow“-Button enthalten
  • Facebook: Laden eines Seiten-Plugin-iframe
  • Alle diese Dienste sind externe kommerzielle Dienste außerhalb der Regierungsinfrastruktur

Sicherheitseinstellungen

• Kein SSL-Zertifikat-Pinning, stattdessen Verwendung des standardmäßigen Android TrustManager
  • In öffentlichen WLANs oder Proxy-Umgebungen kann der Traffic bei MITM-Angriffen offengelegt werden

Entwicklungsreste

• Der Produktions-Build enthält Entwicklungs-URLs und -Ressourcen
  • Strings für localhost und eine Entwickler-IP (10.4.4.109) sind vorhanden
  • Expo-Entwickler-Clients (expo-dev-client, expo-devlauncher, expo-devmenu) sind enthalten
  • Die Ressource dev_menu_fab_icon.png ist vorhanden
  • Eine Compose-PreviewActivity ist im Manifest als exportiert enthalten

Berechtigungsstruktur

• Das AndroidManifest enthält neben üblichen Benachrichtigungsberechtigungen auch zahlreiche Launcher-Badge-Berechtigungen (Samsung, HTC, Sony usw.)
• In den Runtime-Request-Strings finden sich Berechtigungen für präzisen Standort, ungefähren Standort und Hintergrundstandort
• In der Google-Play-Beschreibung werden außerdem folgende Berechtigungen genannt
  • „Gemeinsamen Speicher ändern/löschen“, „Foreground-Service ausführen“, „Über anderen Apps anzeigen“, „Beim Start ausführen“, „Fingerabdruck-/biometrische Hardware verwenden“
• Die FileProvider-Konfiguration legt das gesamte Root des externen Speichers offen und wird für WebView-Dateizugriffe verwendet

Liste der enthaltenen SDKs

• Insgesamt sind mehr als 68 Bibliotheken enthalten
  • Frameworks: React Native, Expo SDK 54, Hermes
  • Push/Engagement: OneSignal, Firebase Cloud Messaging, Firebase Installations
  • Analytics/Telemetrie: Firebase Analytics, Google Data Transport, OpenTelemetry
  • Netzwerk: OkHttp3, Apollo GraphQL, Okio
  • Bilder: Fresco, Glide, Coil 3, Uploadcare CDN
  • Video: ExoPlayer(Media3), Expo Video
  • ML: Google ML Kit Vision (Barcode-Scanning), Barhopper-Modell
  • Kryptografie: Bouncy Castle
  • Speicher: Expo Secure Store, React Native Async Storage
  • WebView: React Native WebView (mit Injektionsskript)
  • DI: Koin
  • Serialisierung: GSON, Wire(Protocol Buffers)
  • Lizenzprüfung: PairIP (für Google-Play-Verifikation)
• Der arm64-Build enthält 25 native .so-Bibliotheken