ФАА — Федеральна авіаційна адміністрація США — у п'ятницю повідомила своїх співробітників: наступного тижня IT-команда автоматично встановить застосунок «The White House» на всі службові iPhone та iPad. Без запиту, без вибору. Просто з'явиться на екрані.
Це не локальна ініціатива авіаційного відомства. Федеральний CIO Грег Барбаччіа розіслав наказ головним інформаційним директорам агентств — допомогти Білому дому розгорнути застосунок на всіх службових мобільних пристроях виконавчої гілки влади. За даними Government Executive, йдеться про мільйони телефонів.
Що всередині застосунку
Застосунок запустили у березні 2025 року з обіцянкою давати громадянам «нефільтрований» доступ до пріоритетів адміністрації. Усередині — пресрелізи, офіційні медіа, добірка новинних статей і кнопка «Text President Trump», яка насправді веде до підписки на маркетингову розсилку.
Федеральним службовцям встановлять ту саму публічну версію — без жодних додаткових функцій чи рівнів доступу. Саме це й насторожує фахівців з кібербезпеки найбільше.
«Будь-який застосунок, встановлений на службовому пристрої, потенційно створює backdoor-доступ до урядових мереж за файєрволом».
— Хашмі, колишній посадовець Адміністрації загальних послуг США (GSA), цитата за Government Executive
Цифри, які не збігаються з риторикою
Незалежний аналіз коду та мережевого трафіку застосунку, проведений дослідником atomic.computer, виявив структурну проблему: лише 23% запитів застосунку йдуть на whitehouse.gov — решта 77% потрапляють до сторонніх комерційних сервісів.
Мережевий аналіз підтвердив: під час кожного запуску застосунок передає IP-адресу, часовий пояс, модель пристрою, версію ОС, кількість і тривалість сесій та постійний унікальний ідентифікатор до сервісу OneSignal — попри те, що в описі дозволів зазначено «цей застосунок не використовує ваше місцезнаходження», а у privacy manifest задекларовано нульовий збір даних.
- Застосунок передає IP-адреси, часові пояси та інші дані користувачів до сторонніх сервісів.
- Серед виявлених вразливостей — Elfsight, заснована в Росії компанія, що надає віджети для застосунку, через яку публічно стали доступні персональні дані деяких співробітників Білого дому.
- Жоден із задіяних комерційних сервісів не має FedRAMP-авторизації — обов'язкового федерального стандарту безпеки для хмарних продуктів у держсекторі.
- GPS-трекінг спочатку був присутній, але після публічного розголосу його прибрали.
«Пропаганда» чи стандартна практика?
Білий дім захищає рішення стандартним аргументом. Речниця Олівія Вейлс заявила, що «на урядових пристроях зазвичай є попередньо встановлені застосунки, корисні для щоденної роботи держслужбовців».
Колишній урядовий технічний посадовець Девід Нестінг оцінює ситуацію інакше: «Це просто спосіб змусити всіх федеральних службовців бачити ту саму пропаганду, яку вони поширюють серед публіки».
Прецедент справді нестандартний: чиновники — як чинні, так і колишні — назвали цей крок вкрай незвичним і навіть небезпечним. Раніше на службових пристроях могли бути встановлені комунікаційні інструменти на кшталт Teams чи Zoom — але не партійно забарвлений контент конкретної адміністрації.
Якщо хоча б один із задіяних сторонніх сервісів виявиться вектором витоку — відповідальних за аудит безпеки цього рішення офіційно не призначено.
