- Un análisis de la aplicación oficial de la Casa Blanca reveló algunas características preocupantes
- La aplicación puede bloquear opciones de consentimiento de cookies, banners de GDPR y muros de pago.
- La aplicación puede rastrear la ubicación exacta del usuario cada 4,5 minutos y envía datos del usuario a una infraestructura privada.
Un investigador de seguridad descompiló la nueva aplicación oficial de la Casa Blanca para Android que se lanzó en marzo de 2026 y encontró algunas funciones relacionadas ocultas en su interior.
El desarrollador web Thereallo analizó el APK de la aplicación en una publicación de blog y descubrió que es capaz de inyectar código en sitios web de terceros para ocultar ventanas emergentes de consentimiento de cookies, pancartas de GDPR, muros de pago y más.
Puede rastrear su ubicación GPS exacta cada 4,5 minutos, extraer código de infraestructura privada no segura y proporcionar perfiles altamente invasivos de cada usuario.
El artículo continúa a continuación.
‘Línea directa a la Casa Blanca’
Cuando la Casa Blanca lanzó la nueva aplicación, dijo que “ofrecería a los estadounidenses una línea directa a la Casa Blanca”, pero parece más probable que sea lo contrario.
Oculto dentro del WebView utilizado para abrir sitios web externos hay un fragmento de JavaScript que tiene la capacidad de ocultar información bastante importante que generalmente se muestra cuando visita un sitio web.
“Una aplicación oficial del gobierno de los Estados Unidos está inyectando CSS y JavaScript en sitios web de terceros para eliminar sus cuadros de diálogo de consentimiento de cookies, pancartas de GDPR, puertas de inicio de sesión y muros de pago”, explicó Therelo.
Bloquear estas funciones clave del sitio web significa que los usuarios no pueden ejercer su derecho legal de optar por no participar en el seguimiento según el RGPD o las leyes de privacidad a nivel estatal. Además, al eludir los muros de pago, el gobierno de EE. UU. ofrece a los usuarios la posibilidad de acceder a contenidos que normalmente estarían protegidos por un muro de pago.
Si bien la lista de Google Play Store indica que la aplicación puede solicitar datos de ubicación aproximados y precisos, Therelo señala que la aplicación solicita permisos de ubicación en tiempo de ejecución y que contiene un complemento Expo destinado a detener el seguimiento de la ubicación. Pero la aplicación se basa en el código de seguimiento de ubicación del SDK de OneSignal.
Por lo tanto, la aplicación puede recopilar información precisa de seguimiento de ubicación cada 4,5 minutos mientras está activa y cada 9,5 minutos mientras se ejecuta en segundo plano. Aunque este seguimiento no está habilitado de forma predeterminada, todo el proceso se puede habilitar con un solo comando.
Como señala Thereallo, “la infraestructura está ahí, lista para funcionar y especificada en el paquete JS API para habilitarla”. Entonces, si bien es posible que la aplicación no necesariamente lo esté rastreando hoy, es probable que se active en algún momento en el futuro.
OneSignal también se utiliza para recopilar datos de perfiles de cada usuario. “Su ubicación, sus interacciones de notificación, los clics en sus mensajes dentro de la aplicación, su número de teléfono si lo proporciona, sus etiquetas, sus cambios de estado. Todo irá a los servidores de OneSignal”, señala Thereallo.
Además, la aplicación se basa en el código de una cuenta aleatoria de GitHub para insertar vídeos de YouTube. Thereallo señala que si esta cuenta alguna vez se ve comprometida, el delincuente “podría proporcionar HTML y JavaScript arbitrarios a todos los usuarios de esta aplicación”.
La aplicación carga código de terceros sin una infraestructura de seguridad adecuada, envía sus datos a una infraestructura privada y no tiene fijación de certificados.
“¿Algo de esto es ilegal? Probablemente no. ¿Es eso lo que se esperaría de una aplicación oficial del gobierno? Probablemente no”, concluyó Therello.
Una aplicación anunciada como una ventanilla única para noticias y medios directamente desde la Casa Blanca está sirviendo en cambio como una herramienta de marketing, seguimiento y perfilado de usuarios altamente granular. Es importante tener en cuenta que Thereallo se analizó inmediatamente después del lanzamiento de la aplicación y, por lo tanto, es posible modificar, agregar o eliminar funciones.
TechRadar Pro contactó a la Casa Blanca para hacer comentarios, pero no recibió una respuesta de inmediato.
La mejor protección contra robo de identidad para todos los presupuestos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
