米国政府がファーウェイを制裁している一方で、ホワイトハウス公式アプリにファーウェイSDKを組み込んでいる?
TechFlow厳選深潮セレクト
米国政府がファーウェイを制裁している一方で、ホワイトハウス公式アプリにファーウェイSDKを組み込んでいる?
米国政府は国家安全保障を理由に、自国の企業がファーウェイと取引することを禁止しているが、大統領の公式アプリにはファーウェイのコードが組み込まれている。
Web3業界の深掘り報道に専念し潮流を洞察著者:TechFlow
トランプ政権は3月27日に、公式ニュースアプリをリリースしました。同アプリはユーザーが「フィルターなし」でホワイトハウスの情報を直接入手できると宣伝されています。
しかし、複数の独立系セキュリティ監査機関が48時間以内に明らかにしたのは、皮肉にもこうした事実です。このアプリのインストールパッケージには中国のファーウェイ社の追跡コンポーネントが埋め込まれており、ファーウェイ社は米国政府自身が国家安全保障上の理由から制裁対象ブラックリストに指定している企業です。
さらに、このアプリはGPS位置情報取得、指紋認証、起動時に自動実行される機能など、ニュースアプリとしては明らかに過剰な一連のシステム権限を要求しています。X(旧Twitter)プラットフォームは直ちに、ホワイトハウスによる公式プロモーション投稿に「コミュニティ備考(Community Note)」による警告を付与しました。
大統領の記者会見やライブ配信を提供するアプリが、なぜあなたの指紋を読み取る必要があるのでしょうか?
セキュリティ研究者Sam Bent氏がホワイトハウスアプリ(バージョン47.0.1)をリバースエンジニアリングし、オープンソースのAndroidアプリプライバシー監査プラットフォーム「Exodus Privacy」でスキャンを行いました。Exodus Privacyは、アプリ内に埋め込まれたトラッカーおよび権限要求を検出するためのツールであり、プライバシー研究コミュニティで広く利用されています。そのスキャン結果によると、ホワイトハウスアプリには3つのトラッカーが埋め込まれており、その一つが「Huawei Mobile Services Core(ファーウェイ・モバイル・サービス・コア)」でした。
その後、IBTimesが同様の発見を独立して報じ、法務アナリストのmitchthelawyer氏もSubstack上でExodusの報告内容を確認する記事を公開しました。これら3つの独立した情報源が一致して示す事実は明確です。すなわち、ホワイトハウスの公式アプリには実際にファーウェイのSDKコードが含まれているということです。
なお、「Huawei Mobile Services Core」自体は、ファーウェイがグローバルなAndroidエコシステム向けに提供するプッシュ通知および分析用SDKであり、海外市場向けに展開する多くのアプリが、ファーウェイ端末との互換性確保のためにこれを導入しています。
このコンポーネントがインストールパッケージ内に存在することは、それがファーウェイへデータを積極的に送信していることを意味しません。しかし、問題は以下の点にあります。
米国政府は自国の企業がファーウェイと取引することを国家安全保障上の理由から禁止している一方で、自らの大統領の公式アプリにはファーウェイのコードが組み込まれています。Hacker News上のコメントは鋭く指摘しています。「これはおそらく外部委託業者がデフォルト設定として導入したものであり、ホワイトハウスの意思決定層はそもそもファーウェイSDKの存在を認識していない可能性が高い。だが、それが意図的な導入よりもむしろ深刻な問題であるかもしれない」。
権限リストはシステムツール並み、一方でプライバシーポリシーは1年前のまま
ホワイトハウスアプリが要求する権限には、正確なGPS位置情報取得、指紋生体認証、ストレージの読み書き、起動時の自動実行、他のアプリ上にオーバーレイ表示(フローティングウィンドウ)、Wi-Fiネットワークのスキャン、および通知バッジの読み取りが含まれます。これと比較すると、AP Newsのような同種のニュース配信・災害報道サービスでは、はるかに少ない権限で済んでいます。
IBTimesの報道によれば、開発者は当初、位置情報関連の権限を除外するための技術的プラグインを導入したと説明していますが、「明らかに、関連するコードは一切削除されていなかった」と認めています。
さらに深刻な問題はプライバシーポリシーにあります。IBTimesおよびmitchthelawyer氏のSubstack記事によるクロスチェックによると、ホワイトハウスアプリが適用するプライバシーポリシーの最終更新日は2025年1月20日であり、アプリのリリース日よりちょうど1年も前です。このポリシーはウェブサイトへのアクセス、メールニュースレター登録、SNSページに関するもののみをカバーしており、モバイルアプリ、GPS追跡、位置データ収集、生体認証アクセスなどの項目については一切言及していません。ユーザーが「同意」をクリックしたとしても、それはアプリの実際の動作をまったく網羅していない文書に対する同意なのです。
アプリ内に宣伝文言および移民通報入口が埋め込み済み
アプリには「大統領へSMSを送信する」機能ボタンが内蔵されています。ボタンをクリックすると、メッセージ入力欄に自動的に「Greatest President Ever!」(史上最高の大統領!)という一文が挿入されます。ユーザーが送信を選択した場合、アプリはその氏名および携帯電話番号を収集します。
また、アプリには米国移民・税関執行局(Immigration and Customs Enforcement:ICE)への通報ボタンも埋め込まれています。ICEは移民法執行および強制送還を担当する連邦機関です。このボタンをクリックすると、ユーザーは即座にICEの密告者向け通報ページへ遷移でき、周囲に不法滞在の疑いのある人物がいる場合、匿名で通報することが可能です。
名目上は政府の公式ニュース配信ツールであるはずのアプリが、同時に政治的プロパガンダおよび法執行機関への通報という二つのデータ収集窓口を担っています。リリース後わずか2日以内に、Xプラットフォームのユーザーがホワイトハウスの公式プロモーション投稿に対して「コミュニティ備考(Community Note)」を付与し、他のユーザーに対しプライバシー上のリスクへの注意を呼びかけました。
ホワイトハウスだけではない:FBIアプリは広告を配信、FEMAアプリは28項目の権限を要求
Sam Bent氏は、同一調査の中で、複数の連邦機関のアプリについてExodusによる監査を行い、ホワイトハウスアプリが単独の例外ではないことを明らかにしました。
FBIの公式アプリ「myFBI Dashboard」は12項目の権限を要求し、4つのトラッカーを内蔵しています。そのうちの一つは、Google AdMobという広告配信用SDKです。連邦レベルの法執行機関の公式アプリが、ユーザーのスマートフォン識別情報を読み取る一方で、ターゲット型広告を配信しているのです。
FEMA(連邦緊急事態管理庁)のアプリは28項目の権限を要求しますが、その主な機能は天気警報および避難所の位置情報表示にすぎません。
米国税関・国境保護局(CBP)のパスポート管理アプリは14項目の権限を要求しており、そのうち7項目は「危険な権限(dangerous permissions)」に分類されています。例えば、アプリが閉じられた状態でも継続して位置情報を追跡する「バックグラウンド位置追跡」や、端末全体のストレージへの完全な読み書き権限などが該当します。CBPのアプリ全体で収集される顔認証データの保存期間は最長75年に及び、国土安全保障省(DHS)、ICE、FBI間で共有されています。
さらに基盤的なデータ調達のレベルにおいては、国土安全保障省、FBI、国防総省(DoD)、麻薬取締局(DEA)がVenntelなどの商用データブローカーを通じて、毎日150億件を超える位置情報ポイントを、2億5千万台以上のデバイスを対象に購入しています。これは令状なしで行われるものであり、米国最高裁判所が2018年のCarpenter v. United States事件で確立した、スマートフォン位置情報のプライバシー保護原則を実質的に回避する行為です。
Hacker News上の複数のコメント投稿者は、こうしたアプリ群に共通する論理を次のように要約しています。「政府は、本来ウェブページやRSSで十分に配信可能な公的情報を、あえてネイティブアプリという形で配布している。その唯一合理的な説明は、ブラウザでは得られないレベルのシステム権限——すなわち、バックグラウンドでの位置追跡、生体認証、デバイス識別子の読み取り、起動時自動実行——を取得するためである」。
米国政府監察院(GAO)が2023年に公表した報告書によると、2010年以降に提出された236件のプライバシーおよびセキュリティに関する勧告のうち、約60%がいまだに実施されていません。議会はこれまでに2度、包括的なインターネットプライバシー法制化を求める勧告を受けましたが、いまだに何の動きもありません。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News
深潮TechFlow
