ФАА — Федеральная авиационная администрация США — в пятницу сообщила своим сотрудникам: на следующей неделе IT-команда автоматически установит приложение «The White House» на все служебные iPhone и iPad. Без запроса, без выбора. Просто появится на экране.
Это не локальная инициатива авиационного ведомства. Федеральный CIO Грег Барбаччиа разослал приказ главным информационным директорам агентств — помочь Белому дому развернуть приложение на всех служебных мобильных устройствах исполнительной власти. По данным Government Executive, речь идет о миллионах телефонов.
Что внутри приложения
Приложение запустили в марте 2025 года с обещанием давать гражданам «нефильтрованный» доступ к приоритетам администрации. Внутри — пресс-релизы, официальные медиа, подборка новостных статей и кнопка «Text President Trump», которая на самом деле ведет на подписку маркетинговой рассылки.
Федеральным служащим установят ту же публичную версию — без каких-либо дополнительных функций или уровней доступа. Именно это и настораживает специалистов по кибербезопасности больше всего.
«Любое приложение, установленное на служебном устройстве, потенциально создает backdoor-доступ к государственным сетям через брандмауэр».
— Хашми, бывший должностной работник Администрации общих услуг США (GSA), цитата по Government Executive
Цифры, которые не совпадают с риторикой
Независимый анализ кода и сетевого трафика приложения, проведенный исследователем atomic.computer, выявил структурную проблему: только 23% запросов приложения идут на whitehouse.gov — остальные 77% попадают к сторонним коммерческим сервисам.
Сетевой анализ подтвердил: при каждом запуске приложение передает IP-адрес, часовой пояс, модель устройства, версию ОС, количество и продолжительность сессий и постоянный уникальный идентификатор к сервису OneSignal — несмотря на то, что в описании разрешений указано «это приложение не использует ваше местоположение», а в privacy manifest заявлено нулевое сбора данных.
- Приложение передает IP-адреса, часовые пояса и другие данные пользователей к сторонним сервисам.
- Среди выявленных уязвимостей — Elfsight, основанная в России компания, предоставляющая виджеты для приложения, через которую публично стали доступны персональные данные некоторых сотрудников Белого дома.
- Ни один из задействованных коммерческих сервисов не имеет FedRAMP-авторизации — обязательного федерального стандарта безопасности для облачных продуктов в госсекторе.
- GPS-трекинг сначала присутствовал, но после публичного разоблачения его убрали.
«Пропаганда» или стандартная практика?
Белый дом защищает решение стандартным аргументом. Пресс-секретарь Оливия Вейлс заявила, что «на государственных устройствах обычно установлены предварительно установленные приложения, полезные для повседневной работы госслужащих».
Бывший государственный технический должностной работник Дэвид Нестинг оценивает ситуацию иначе: «Это просто способ заставить всех федеральных служащих видеть ту же пропаганду, которую они распространяют среди публики».
Прецедент действительно нестандартный: чиновники — как действующие, так и бывшие — назвали этот шаг крайне необычным и даже опасным. Ранее на служебных устройствах могли быть установлены коммуникационные инструменты вроде Teams или Zoom — но не партийно окрашенный контент конкретной администрации.
Если хотя бы один из задействованных сторонних сервисов окажется вектором утечки — ответственных за аудит безопасности этого решения официально не назначено.
