根據美國 媒體報導,川普 政府正計畫將其於今年三月推出的白宮官方App(White House app),自動安裝至聯邦政府員工的公務手機中。雖然白宮官方聲稱,預載應用程式是為了提供公務員日常工作所需的價值,但由於該款App先前已遭踢爆包含定位追蹤與第三方資料共享等隱私爭議,如今將被強制安裝至高安全層級的政府公務裝置上,進一步引發資安專家的高度擔憂。
強制預載計畫啟動,行政部門全體適用
根據《Government Executive》取得白宮內部電子郵件指出,至少有一個聯邦機構最快將於下週開始,在政府發放的行動裝置上自動安裝白宮官方App。而這項計畫的最終目標,將擴及行政部門內所有由政府提供的行動手機。
這款於今年3月剛上架的App,最初的宣傳口號是「直接提供未經審查的即時更新」,App內的主要功能包含新聞稿發布、官方媒體庫、精選新聞與統計數據等。而其中一項名為「傳簡訊給川普總統」 (Text President Trump)的功能,實際點擊後則是會引導使用者註冊成為行銷推播名單的一員。
報導指出,被安裝在政府公務機上的版本,與一般大眾在軟體市集下載的公開版本「完全相同」,並未針對公務需求增加任何特殊功能。對此,白宮發言人Olivia Wales 回應表示:「政府裝置通常會包含預載的應用程式,藉此提供對政府員工日常工作有價值的服務」。
從隱私爭議到國家級資安漏洞
不過,這項看似只是單純「內部佈達工具」的強制安裝計畫,在資安專家眼中卻是一場災難。
早在該App上架初期,就有報告指出其內建位置追蹤 (Location tracking)功能,並且對其可能將用戶個人資料與第三方數據公司共享的機制提出強烈質疑。將一款帶有商業行銷追蹤碼、缺乏明確隱私保護邊界的消費級App,大規模佈署至處理敏感國家事務的聯邦公務手機上,顯然成為人為製造的巨大安全漏洞。
當「政治行銷」凌駕於「零信任資安」之上
從企業IT與資安管理的角度來看,這是一次極度反常的操作。
近年來,美國聯邦政府大力推動零信任架構 (Zero Trust Architecture),並且嚴格控管公務設備的App安裝權限 (例如先前全面封殺TikTok在公務手機上使用),目的就是為了減少潛在的資料外洩節點。
而白宮這次的強制預載舉動,似乎更像是為了快速「灌水」這款官方App的下載量與活躍用戶數,並且將政府員工直接納入其政治行銷的受眾池中。一款會追蹤定位、搜集數據的 App 被植入公務機,這不僅讓外部駭客或第三方資料仲介商有機會透過API漏洞竊取公部門的活動軌跡,更打破公務裝置應當保持「絕對乾淨與單一用途」的基本資安鐵律。如果這項政策全面落實,未來的美國公部門資安防護網,可能將從內部先被撕開一道無形的裂口。
《原文刊登於合作媒體mashdigi,聯合新聞網獲授權轉載。》
討論區