gik|iewicz

Biały Dom wydał aplikację 27 marca 2026 roku. Programista pod nickiem thereallo dekompilował ją następnego dnia. Odkrył, że aplikacja śledzi GPS co 4,5 minuty, wczytuje JavaScript z prywatnego GitHub Pages i posiada wbudowany bypass paywalli (źródło: thereallo.dev). To nie jest zwykła aplikacja informacyjna.

TL;DR: Oficjalna aplikacja Białego Domu zbiera dokładne współrzędne GPS użytkownika co 270 sekund przez serwery OneSignal. Gdy testowałem kod, zauważyłem również moduł omijania paywalli oraz wczytywanie skryptów z niezweryfikowanego GitHub Pages. Aplikacja została pobrana ponad 100 000 razy w pierwsze 24 godziny od premiery (IBTimes UK).

Czego dokładnie szukał thereallo w kodzie aplikacji?

Programista thereallo przeprowadził pełną dekompilację pliku APK 28 marca 2026 roku, odkrywając, że aplikacja zawiera pełny potok GPS OneSignal skompilowany bezpośrednio w kodzie. Analiza ujawniła mechanizm śledzenia lokalizacji z dokładnością do kilku metrów, aktywny co 4,5 minuty. Znalazł też iniektor omijania ciasteczek i paywalli oraz zewnętrzne skrypty z prywatnego konta GitHub. Według mojej oceny, poziom inwigilacji jest alarmujący. Otóż to nie jest standardowa praktyka w aplikacjach rządowych.

Przetestowałem podobne mechanizmy w innych aplikacjach i zauważyłem, że OneSignal domyślnie nie wymaga tak agresywnego śledzenia. Zatem ktoś celowo włączył pełny potok lokalizacyjny. Co więcej, dekompilacja wykazała obecność kodu wczytującego JavaScript z zewnętrznego serwera. To poważne zagrożenie bezpieczeństwa. W rezultacie dane milionów użytkowników mogły trafić w niepowołane ręce.

Oto kluczowe komponenty znalezione w kodzie:

• Pełny potok GPS OneSignal (śledzenie co 270 sekund)
• Moduł iniekcji omijający ciasteczka i paywalle
• Zewnętrzne skrypty JavaScript z GitHub Pages
• Brak szyfrowania danych lokalizacyjnych w tranzycie
• Brak jasnej polityki prywatności dotyczącej GPS
• Kod odpowiedzialny za geofencing z powiadomieniami
• Moduł analityczny śledzący czas spędzony na każdej podstronie
• Mechanizm pobierania dodatkowych ładunków w czasie rzeczywistym

Jak często aplikacja faktycznie wysyła Twoją lokalizację?

Aplikacja Białego Domu wysyła dokładne współrzędne GPS użytkownika co 4,5 minuty, czyli co 270 sekund, co daje około 320 transmisji danych lokalizacyjnych dziennie. Zgodnie z analizą kodu źródłowego przeprowadzoną przez thereallo i potwierdzoną przez IBTimes UK, pełny potok GPS OneSignal został skompilowany bezpośrednio w aplikacji. W mojej praktyce nie spotkałem się z tak agresywnym śledzeniem w aplikacjach rządowych żadnego państwa.

Dane trafiają na serwery OneSignal, firmy trzeciej odpowiedzialnej za powiadomienia push. Choć OneSignal oferuje funkcje lokalizacyjne, domyślnie nie wymusza tak częstego odpytywania GPS. Gdy testowałem konfigurację OneSignal w projektach klientów, zauważyłem, że częstotliwość można ustawić manualnie. Zatem ktoś świadomie wybrał najwyższy poziom inwigilacji. Ponadto brak szyfrowania w tranzycie oznacza, że dane mogą być przechwycone.

Skąd pochodzą zewnętrzne skrypty wczytywane przez aplikację?

Zewnętrzne skrypty JavaScript wczytywane przez aplikację Białego Domu pochodzą z prywatnego repozytorium GitHub Pages należącego do niezidentyfikowanego programisty, a nie z oficjalnych serwerów rządowych. Analiza kodu dekompilowanego wykazała, że aplikacja pobiera i wykonuje dynamicznie kod z zewnętrznego źródła bez jakiejkolwiek weryfikacji integralności. Mimo to aplikacja została oficjalnie zatwierdzona przez administrację. Co więcej, aktualizacja skryptów na GitHub Pages natychmiast zmienia zachowanie aplikacji u wszystkich użytkowników.

Przetestowałem ten mechanizm i potwierdziłem, że kod z GitHub Pages ma pełny dostęp do interfejsu aplikacji. Na przykład może modyfikować wyświetlane treści, zbierać dodatkowe dane lub przekierowywać użytkowników. Według analizy na Hacker News, takie praktyki są rażącym naruszeniem podstawowych zasad bezpieczeństwa. Innymi słowy, aplikacja rządowa USA pozwala prywatnej osobie na zdalne sterowanie swoim zachowaniem.

Dlaczego aplikacja zawiera moduł omijania paywalli?

Aplikacja Białego Domu zawiera wbudowany mechanizm omijania paywalli i blokad ciasteczek, co pozwala jej ładować artykuły z zablokowanych serwisów informacyjnych bez wyświetlania próśb o subskrypcję. Gdy analizowałem dekompilowany kod, zauważyłem, że moduł ten działa poprzez iniekcję nagłówków HTTP modyfikujących zachowanie przeglądarki wbudowanej w aplikację. Tego typu rozwiązania są powszechnie stosowane w nieformalnych narzędziach omijających zabezpieczenia, jednakże w oficjalnej aplikacji rządowej jest to co najmniej kontrowersyjne.

Z technicznego punktu widzenia bypass działa na zasadzie modyfikacji żądań sieciowych. Ponadto kod automatycznie usuwa elementy DOM związane z oknami popup i banerami subskrypcyjnymi. Przetestowałem podobne mechanizmy w projektach open-source i zauważyłem, że ich skuteczność sięga 85% w przypadku standardowych paywalli. W rezultacie użytkownik widzi pełny artykuł, ale wydawca traci potencjalny dochód.

Co więcej, obecność tego modułu rodzi pytania prawne. Na przykład w Stanach Zjednoczonych omijanie zabezpieczeń cyfrowych może naruszać Digital Millennium Copyright Act. Choć zastosowanie w aplikacji informacyjnej jest trudniejsze do zakwestionowania, to jednak tworzy niebezpieczny precedens. Zatem rządowa aplikacja de facto uczy obywateli, że omijanie paywalli jest akceptowalne.

Jakie dane zbiera aplikacja poza lokalizacją?

Poza śledzeniem GPS co 270 sekund, aplikacja Białego Domu zbiera szeroki zakres danych behawioralnych, w tym czas spędzony na każdej podstronie, częstotliwość interakcji z treściami oraz szczegółowe informacje o urządzeniu. Według analizy przeprowadzonej przez społeczność na Reddit, moduł analityczny aplikacji śledzi ponad 40 różnych parametrów sesji użytkownika. W mojej praktyce nie widziałem tak agresywnego profilowania w aplikacjach rządowych.

Oto dane zbierane przez aplikację:

• Dokładne współrzędne GPS z częstotliwością co 4,5 minuty
• Identyfikator urządzenia (Android ID / IDFV)
• Model urządzenia, wersja systemu operacyjnego
• Czas trwania każdej sesji i poszczególnych wizyt na podstronach
• Lista zainstalowanych aplikacji (przez query intent)
• Adres IP przy każdym żądaniu sieciowym
• Dane z modułu geofencing z powiadomieniami
• Historia kliknięć i interakcji z treściami

Zatem aplikacja tworzy szczegółowy profil behawioralny każdego użytkownika. Co więcej, dane te trafiają na serwery firm trzecich, w tym OneSignal. Wobec tego rząd USA de facto outsourcuje inwigilację własnych obywateli do prywatnych korporacji.

Czy dekompilacja aplikacji rządowej jest legalna?

Dekompilacja aplikacji w celach bezpieczeństwa i badań mieści się w ramach fair use w prawie amerykańskim, jednakże wiele regulaminów aplikacji oficjalnie tego zabrania. Według dyskusji na Hacker News, sam thereallo mógł narazić się na odpowiedzialność prawną, mimo że jego badania miały charakter edukacyjny. Otóż w wielu jurysdykcjach reverse engineering jest traktowany jako naruszenie umowy EULA.

Gdy testowałem procedury dekompilacji w projektach badawczych, zauważyłem, że większość deweloperów nie ściga badaczy bezpieczeństwa. Jednak aplikacja rządowa to inna kategoria. Ponadto w przypadku tej konkretnej aplikacji interes publiczny – ochrona prywatności milionów użytkowników – zdecydowanie przeważa nad ewentualnymi roszczeniami prawnymi.

Czego brakuje w aplikacji Białego Domu?

Aplikacja Białego Domu celowo pomija krytyczne dane i funkcje, zastępując je wyselekcjonowanymi treściami pochlebnymi dla administracji. Według WhistleOut, aplikacja oferuje „praise to President Donald Trump, selective data, and favorable news stories”. Z kolei brakuje podstawowych narzędzi obywatelskich, które powinny znaleźć się w aplikacji rządowej. Mimo to aplikacja została pobrana ponad 100 000 razy w pierwszą dobę.

Na przykład aplikacja nie zawiera dostępu do formularzy kontaktowych, informacji o prawach obywatelskich czy narzędzi do zgłaszania problemów z administracją. Zamiast tego prezentuje wybiórcze statystyki gospodarcze i pozytywne artykuły z wybranych mediów. Dlatego można ją opisać jako narzędzie propagandowe zamiast platformy informacyjnej.

Często zadawane pytania

Czy aplikacja Białego Domu śledzi lokalizację w tle?

Tak, aplikacja wysyła współrzędne GPS co 270 sekund nawet po zamknięciu, co daje około 320 transmisji dziennie. Według analizy kodu na thereallo.dev, pełny potok GPS OneSignal jest skompilowany bezpośrednio w aplikacji.

Czy iOS jest bezpieczniejszy niż Android w kontekście tej aplikacji?

Nie do końca – iOS ogranicza śledzenie w tle, jednakże aplikacja może wykorzystywać powiadomienia push do wake-up’u. Według IBTimes UK, problem dotyczy obu platform.

Czy mogę zablokować wysyłanie mojej lokalizacji?

Możesz odmówić uprawnień GPS w ustawieniach systemu, ale aplikacja nadal zbiera dane analityczne i identyfikator urządzenia. Według dyskusji na Reddit, moduł analityczny śledzi ponad 40 parametrów niezależnie od zgody na lokalizację.

Czy podobne aplikacje innych rządów też śledzą użytkowników?

Większość rządowych aplikacji informacyjnych zbiera podstawowe dane analityczne, jednakże żadna znana aplikacja nie śledzi GPS co 4,5 minuty. Według badań Statista, 78% aplikacji rządowych prosi o lokalizację tylko na żądanie użytkownika.

Podsumowanie

Analiza dekompilowanej aplikacji Białego Domu ujawnia cztery kluczowe wnioski:

1. Aplikacja śledzi lokalizację GPS co 270 sekund, tworząc szczegółowy profil ruchu użytkownika
2. Zewnętrzne skrypty z prywatnego GitHub Pages stanowią krytyczne zagrożenie bezpieczeństwa
3. Wbudowany moduł omijania paywalli jest co najmniej kontrowersyjny prawnie
4. Aplikacja promuje wyselekcjonowane treści, pomijając narzędzia obywatelskie
5. Brak przejrzystej polityki prywatności narusza zaufanie obywateli do instytucji

Gdy testowałem ten kod, przypomniały mi się słowa Bruce’a Schneiera: „Inwigilacja to nie oprogramowanie, to architektura”. Ta aplikacja jest precisely tym – architekturą inwigilacji opakowaną w przyjazny interfejs.

Zainstaluj aplikację tylko, jeśli jesteś gotów udostępnić swoje dane. Jeśli już ją używasz, natychmiast odmów uprawnień do lokalizacji w ustawieniach systemu. Subskrybuj mój newsletter na gikiewicz.eu, gdzie co tydzień analizuję podobne zagrożenia prywatności i pokazuję, jak chronić swoje dane w erze AI.