Hacker News 中文摘要

RSS订阅

我反编译了白宫的新应用 -- I decompiled the White House's new app

原文链接 | HN讨论 | 2026-03-29 02:30:13

文章摘要

一位开发者反编译了白宫新发布的官方应用,发现它是基于React Native和Expo框架开发,使用WordPress作为后端。应用包含两个特殊插件,并禁用了OTA更新功能。所有内容通过白宫官网的定制REST API获取。

文章总结

《白宫新应用逆向工程报告》

技术架构
该应用基于Expo框架(SDK 54)开发,采用React Native和Hermes JavaScript引擎,后端使用WordPress搭建,通过自定义REST API(命名空间whitehouse/v1)提供内容服务。开发实体名为"forty-five-press",应用主体逻辑封装在5.5MB的Hermes字节码中,原生Java层仅作轻量封装。

核心功能
- 内容聚合:通过17个API端点获取新闻、直播、相册、政策文件等,包括争议性栏目如"媒体偏见"和特朗普个人宣传内容(如"史上最伟大总统!")
- 特殊设计:集成ICE举报表单链接,硬编码特朗普政府相关网址(TrumpRx.gov等)
- 隐私干预:通过WebView注入脚本强制移除第三方网站的GDPR弹窗、付费墙等元素,并持续监控动态添加内容

数据追踪机制
- 地理位置:集成OneSignal SDK,具备完整定位功能(前台4.5分钟/后台9.5分钟采集间隔),需满足三条件激活:JS层调用setLocationShared(true)、用户授权、设备支持定位服务
- 用户画像:通过OneSignal实现标签分类、短信关联、跨设备识别、行为转化追踪等,本地数据库记录所有通知交互
- 第三方依赖风险:YouTube播放器加载自个人GitHub Pages(lonelycpp.github.io),社交组件依赖Elfsight商用服务

安全隐患
1. 缺乏证书固定,易受中间人攻击
2. 混入开发环境残留(本地IP地址、预览组件等)
3. 68+第三方库包含敏感模块(ML Kit视觉识别、加密工具等)
4. 非政府基础设施:邮件服务依赖Mailchimp,图片托管于Uploadcare

合规性质疑
虽然未明确违法,但以下设计有违政府应用预期:
- 系统性绕过隐私合规措施
- 完备的潜在定位追踪架构
- 关键功能依赖不可控的第三方资源

(注:全文保留技术细节,删减了重复的代码片段和部分库列表,聚焦于隐私与安全相关的核心发现)

评论总结

以下是评论内容的总结:

  1. 认为这是常见做法
    多位评论者指出这类行为在普通应用中很常见,认为不必大惊小怪。

    • "This is a pretty standard decomplation of an Android app." (评论1)
    • "Looks like what you might expect in a standard marketing app from a consultancy." (评论6)

  2. 对政府行为的批评
    部分评论者批评政府应用不应有此类行为,尤其是涉及位置跟踪和代码注入。

    • "Pretty crazy that the official government is injecting JavaScript into web views..." (评论5)
    • "i assumed it was malware out the gate. yep" (评论7)

  3. 对移除广告和付费墙的正面评价
    一些评论者认为移除广告和付费墙对用户有利,甚至调侃这是特朗普政府的罕见优点。

    • "Rare Trump administration W." (评论13)
    • "So at least it does something actually beneficial for the user!" (评论16)

  4. 对文章和技术的质疑
    有评论者对文章的真实性和技术分析提出质疑,认为可能存在夸大或错误。

    • "A bit skeptical of how this article is written as it seems to be mostly written by AI." (评论12)
    • "The argument regarding no certificate pinning seems to miss..." (评论9)

  5. 对政府的不信任
    部分评论者表达了对政府的不信任,认为这种行为符合当前政府的作风。

    • "lol honestly all of this tracks given the current administration." (评论10)
    • "nice work, so they can get your location and have ICE scoop you up if required" (评论11)

  6. 对评论环境的观察
    有评论者指出,如果是其他应用,评论区的反应可能会不同。

    • "The comments in here are pretty rich. If this was any other app, everyone would be screaming..." (评论14)

总结:评论观点多样,既有对政府行为的批评和不信任,也有对技术常见性的辩护,甚至对某些功能的正面评价。同时,部分评论者对文章和技术分析提出了质疑。