制裁華為的美國政府，把華為 SDK 裝進了白宮官方 App？

作者：深潮 TechFlow

特朗普政府 3 月 27 日上线了一款官方新聞 App，號稱讓使用者「無濾鏡」直連白宮資訊。

但多個獨立安全審計在 48 小時內揭露了一個頗具諷刺意味的事實：這款 App 的安裝包裡嵌入了華為的追蹤元件，而華為正是美國政府自己以國家安全為由列入制裁黑名單的中國公司。

除此之外，該 App 還要求 GPS 定位、指紋識別、開機自動啟動等一系列遠超新聞應用所需的系統權限，X 平台迅速為其官方推廣貼打上了社群註記警告。

一個發布新聞稿和總統直播的 App，為什麼需要讀取你的指紋？

安全研究員 Sam Bent 對白宮 App（版本號 47.0.1）進行逆向分析後，透過 Exodus Privacy 進行掃描。Exodus Privacy 是一個開源的 Android 應用隱私審計平台，專門偵測 App 嵌入的追蹤器和權限請求，在隱私研究社群被廣泛使用。掃描結果顯示，白宮 App 嵌入 3 個追蹤器，其中一個是 Huawei Mobile Services Core（華為行動服務核心元件）。

IBTimes 隨後獨立報導了同一發現，法律分析人士 mitchthelawyer 也在 Substack 上發文確認了 Exodus 報告的結論。三個獨立消息來源指向同一事實：白宮官方 App 確實包含華為 SDK 程式碼。

需要說明的是，Huawei Mobile Services Core 本身是華為為全球 Android 生態提供的推送和分析 SDK，許多面向國際市場的 App 會嵌入它以相容華為手機。

它出現在安裝包中，不等於它在主動向華為回傳資料。但問題在於：

美國政府以國安理由禁止本國企業與華為做生意，自己的總統官方 App 裡卻裝著華為的程式碼。Hacker News 上的評論一針見血：這大概率是外包承包商的預設設定，白宮決策層可能根本不知道華為 SDK 的存在，「但這或許比刻意嵌入更令人擔憂」。

權限清單堪比系統工具，隱私政策卻停留在一年前

白宮 App 請求的權限包括：精確 GPS 定位、指紋生物辨識、儲存讀寫、開機自動啟動、懸浮窗覆蓋其他應用、Wi-Fi 網路掃描，以及讀取通知角標。作為對比，AP News 提供同類新聞推播和災難報導，所需權限遠少於此。

IBTimes 報導指出，App 的開發者承認，原本用於剝離位置權限的技術外掛「顯然沒有剝離任何相關程式碼」。

更大的問題在於隱私政策。據 IBTimes 和 mitchthelawyer 的 Substack 文章交叉確認，白宮 App 適用的隱私政策最後更新於 2025 年 1 月 20 日，比 App 上線早了整整一年。該政策僅涵蓋網站存取、郵件訂閱和社群媒體頁面，對行動 App、GPS 追蹤、位置資料蒐集、生物辨識存取等內容只字未提。使用者點擊「同意」時，同意的是一份根本不涵蓋 App 實際行為的文件。

內嵌宣傳話術和移民舉報入口

App 內建了一個「給總統發簡訊」的功能按鈕。點擊後，訊息文字方塊會自動填入一句話：「Greatest President Ever！」（史上最偉大的總統）。使用者若選擇發送，系統會蒐集其姓名和手機號碼。

此外，App 還嵌入了一個 ICE 舉報按鈕。ICE 是美國移民與海關執法局（Immigration and Customs Enforcement），負責移民執法和遣返行動。點擊該按鈕會直接跳轉至 ICE 的線人舉報頁面，使用者可以匿名舉報身邊涉嫌非法移民的人。

一個名義上的政府新聞發布工具，同時承擔著政治宣傳和執法舉報的資料蒐集入口。上線不到兩天，X 平台使用者為白宮官方推廣貼打上了社群註記（Community Note），提醒其他使用者注意隱私風險。

不止白宮：FBI App 投放廣告，FEMA 要 28 項權限

Sam Bent 在同一篇調查中對多個聯邦機構 App 做了 Exodus 審計，發現白宮 App 絕非孤例。

FBI 官方 App「myFBI Dashboard」請求 12 項權限、嵌入 4 個追蹤器，其中包括 Google AdMob，一個廣告投放 SDK。一个聯邦執法機構的官方 App 在讀取使用者手機身分資訊的同時投放定向廣告。

FEMA（聯邦緊急事務管理署）App 請求 28 項權限，核心功能僅是顯示天氣預警和避難所位置。

海關與邊境保護局（CBP）的護照管控 App 請求 14 項權限，其中 7 項被歸類為「危險權限」，包括後台位置追蹤（App 關閉後仍在跟蹤）和完整儲存讀寫。整個 CBP 應用生態蒐集的人臉資料保留期限長達 75 年，並在國土安全部、ICE 和 FBI 之間共享。

在更底層的資料採購層面，國土安全部、FBI、國防部和緝毒局透過 Venntel 等商業資料經紀公司，每天購買超過 150 億個位置資料點，涵蓋 2.5 億台以上裝置，無需搜查令。這項操作實質上繞過了美國最高法院 2018 年 Carpenter 訴美國案所確立的手機位置資料隱私保護。

Hacker News 上多名評論者總結了這些 App 的共同邏輯：政府把本可以用網頁或 RSS 發布的公開內容，包裝成原生 App 發放，唯一合理的解釋是取得瀏覽器不提供的系統級權限，包括後台定位、生物辨識、裝置身分讀取以及開機自動啟動。

美國審計署（GAO）2023 年的報告顯示，自 2010 年以來發出的 236 項隱私與安全建議中，近 60% 至今未被落實。國會曾兩次被建議通過綜合性的網際網路隱私立法，至今沒有動作。