SecurityLab в Telegram
Image

О, вы сегодня издалека. Как добрались?

Раз уж путь был непростым — подпишитесь на SecurityLab в Telegram. Обратно будет легче.

Никогда не доверяйте предустановленному государственному софту. Новая утилита тайно передает IP-адреса третьим лицам

leer en español

1995
США Белый дом госслужащие приложение смартфоны конфиденциальность Elfsight уязвимость
Никогда не доверяйте предустановленному государственному софту. Новая утилита тайно передает IP-адреса третьим лицам
США Белый дом госслужащие приложение смартфоны конфиденциальность Elfsight уязвимость

Чем полезнее выглядел сервис, тем неприятнее стали вопросы вокруг него.

image

Рабочий смартфон обычно воспринимают как закрытую служебную среду, но у части федеральных служащих США на таких устройствах появилась программа, которую не получилось удалить. Речь идёт о мобильном приложении Белого дома, которое в мае автоматически установили на телефоны сотрудников нескольких ведомств.

По данным WIRED, с приложением столкнулись работники Министерства сельского хозяйства США, Госдепартамента США и Министерства труда США. Некоторые сотрудники пытались удалить программу, но приложение возвращалось на устройство сразу или в течение суток. Один из служащих Управления общих служб США сообщил, что на его рабочем телефоне приложение не появлялось, поэтому принудительная установка затронула не все ведомства.

Приложение Белого дома вышло в марте и доступно в публичных магазинах Apple и Google. Внутри собраны новости администрации, трансляции, материалы пресс-службы, публикации из официальных соцсетей и подборка статей из СМИ. Сотрудники, поговорившие с WIRED анонимно, заявили, что не используют программу и недовольны её появлением на служебных устройствах.

Отдельные вопросы вызвала политика конфиденциальности. В App Store ссылка ведёт на общую страницу WhiteHouse.gov, а раздел о мобильном приложении содержит только адрес электронной почты без описания сбора и обработки данных. Представитель Белого дома Оливия Уэйлс заявила, что приложение не требует регистрации и ввода данных, а служебные устройства обычно получают предустановленные программы, полезные для работы.

Опасения усилились из-за прежних замечаний к безопасности приложения. В апреле специалисты указывали, что программа сначала передавала местоположение пользователей и IP-адреса третьим сторонам. Приложение разработала компания 45Press, которая, по данным системы учёта госзакупок, получила контракт на 1,5 млн долларов и могла претендовать на сумму свыше 8 млн долларов.

Ещё одну проблему ранее нашло издание NOTUS. В приложении использовались виджеты Elfsight, и через них раскрывались персональные данные сотрудников Белого дома. После публикации WIRED компания Elfsight заявила, что изучила выводы, внесла исправление и передала сведения о решении ответственным контактам. Белый дом ранее сообщил, что Elfsight уведомили об уязвимости.

Госдепартамент США не стал раскрывать настройки и меры контроля, но заявил, что служебные устройства настроены с учётом федеральных требований безопасности, а доступные на них приложения проходят соответствующие процедуры оценки рисков.