制裁華為的美國政府，把華為 SDK 裝進了白宮官方 App？

作者：深潮 TechFlow

川普政府 3 月 27 日上線了一款官方新聞 App，號稱讓用戶「無濾鏡」直連白宮資訊。

但多個獨立安全審計在 48 小時內揭露了一個頗具諷刺意味的事實：這款 App 的安裝包裡嵌入了華為的追踪組件，而華為正是美國政府自己以國家安全為由列入製裁黑名單的中國公司。

除此之外，該 App 還要求 GPS 定位、指紋辨識、開機自啟動等一系列遠超新聞應用所需的系統權限，X 平台迅速為其官方推廣帖打上了社區備註警告。

一個發布新聞稿和總統直播的 App，為什麼需要讀出你的指紋？

安全研究員 Sam Bent 對白宮 App（版本號 47.0.1）進行逆向分析後，透過 Exodus Privacy 進行了掃描。 Exodus Privacy 是一個開源的 Android 應用隱私審計平台，專門檢測 App 內嵌的追蹤器和權限請求，在隱私研究社群中被廣泛使用。 掃描結果顯示，白宮 App 內嵌 3 個追蹤器，其中一個是 Huawei Mobile Services Core（華為行動服務核心元件）。

IBTimes 隨後獨立報道了同一發現，法律分析人士 mitchthelawyer 也在 Substack 上發文確認了 Exodus 報告的結論。 三個獨立信源指向相同事實：白宮官方 App 確實包含華為 SDK 程式碼。

需要說明的是，Huawei Mobile Services Core 本身是華為為全球安卓生態提供的推送和分析 SDK，許多面向國際市場的 App 會嵌入它以兼容華為手機。

它出現在安裝套件中，不等於它在主動向華為回傳資料。 但問題在於：

美國政府以國安理由禁止本國企業與華為做生意，自己的總統官方 App 裡卻裝著華為的代碼。 Hacker News 上的評論一針見血：這大機率是外包承包商的預設配置，白宮決策層可能根本不知道華為 SDK 的存在，「但這或許比故意嵌入更令人擔憂」。

權限清單堪比系統工具，隱私權政策卻停留在一年前

白宮 App 請求的權限包括：精確 GPS 定位、指紋生物辨識、儲存讀寫、開機自啟動、懸浮窗覆蓋其他應用、Wi-Fi 網路掃描，以及讀取通知角標。 作為對比，AP News 提供同類新聞推播和災難報道，所需權限遠少於此。

IBTimes 報告指出，App 的開發者承認，原本用於剝離位置權限的技術插件「顯然沒有剝離任何相關程式碼」。

更大的問題在於隱私權政策。 根據 IBTimes 和 mitchthelawyer 的 Substack 文章交叉確認，白宮 App 適用的隱私權政策最後更新於 2025 年 1 月 20 日，比 App 上線早了整整一年。 該政策僅涵蓋網站存取、郵件訂閱和社群媒體頁面，對行動 App、GPS 追蹤、位置資料收集、生物辨識存取等內容隻字未提。 當使用者點擊「同意」時，同意的是一份根本不涵蓋 App 實際行為的文件。

內嵌宣傳話術和移民舉報入口

App 內建了一個「傳簡訊給總統」的功能按鈕。 點擊後，訊息文字方塊會自動填入一句話：「Greatest President Ever！」（史上最偉大的總統）。 使用者若選擇發送，系統會收集其姓名和手機號碼。

此外，App 也嵌入了一個 ICE 檢舉按鈕。 ICE 是美國移民與海關執法局（Immigration and Customs Enforcement），負責移民執法和遣返行動。 點擊按鈕會直接跳到 ICE 的線人舉報頁面，用戶可以匿名舉報身邊涉嫌非法移民的人。

一個名義上的政府新聞發布工具，同時承擔政治宣傳和執法舉報的資料收集入口。 上線不到兩天，X 平台用戶為白宮官方推廣貼文打上了社群備註（Community Note），提醒其他用戶注意隱私風險。

不隻白宮：FBI App 投放廣告，FEMA 要 28 項權限

Sam Bent 在同一篇調查中對多個聯邦機構 App 做了 Exodus 審計，發現白宮 App 遠非孤例。

FBI 官方 App「myFBI Dashboard」請求 12 項權限、內嵌 4 個追蹤器，其中包括 Google AdMob，一個廣告投放 SDK。 一個聯邦執法機構的官方 App 在讀取用戶手機識別資訊的同時投放目標廣告。

FEMA（聯邦緊急事務管理署）App 請求 28 項權限，核心功能僅是顯示天氣預警和避難所位置。

海關與邊境保護局（CBP）的護照管控 App 請求 14 項權限，其中 7 項被歸類為“危險權限”，包括後台位置追踪（App 關閉後仍在跟踪）和完整存儲讀寫。 整個 CBP 應用生態採集的人臉資料保留期限長達 75 年，並​​在國土安全部、ICE 和 FBI 之間共享。

在更底層的資料採購層面，國土安全部、FBI、國防部和緝毒局透過 Venntel 等商業資料經紀公司，每天購買超過 150 億個位置資料點，涵蓋 2.5 億台以上設備，無需搜索令。 這項操作實質上繞過了美國最高法院 2018 年 Carpenter v.美國案確立的手機位置資料隱私保護。

Hacker News 上多名評論者總結了這些 App 的共同邏輯：政府把本可以用網頁或 RSS 發布的公開內容，包裝成原生 App 分發，唯一合理的解釋是獲取瀏覽器不提供的系統級權限，包括後台定位、生物識別、設備身份讀取和開機自啟動。

美國審計署（GAO）2023 年的報告顯示，自 2010 年以來發出的 236 項隱私與安全建議中，近 60%至今未被落實。 國會曾兩度被建議通過綜合性網路隱私立法，至今沒有動作。