Análise de Segurança do Aplicativo iOS Oficial da Casa Branca

Pesquisadores que realizaram análise estática no aplicativo iOS oficial da Casa Branca descobriram oito problemas críticos de segurança: seis WebViews executam JavaScript em tempo real, não verificado, da Elfsight, uma empresa de widgets da Rússia, por meio de um carregador em duas etapas que permite aos servidores da Elfsight injetar scripts arbitrários em tempo de execução sem verificações de Subresource Integrity e uma ponte ReactNativeWebView.postMessage() para a camada nativa. O aplicativo inclui OneSignalLocation.framework com coleta de GPS em segundo plano sempre ativada, falsamente declarando zero coleta de dados apesar de conter dez frameworks de análise no binário, parâmetros remotos do OneSignal que podem ativar silenciosamente o rastreamento de localização sem atualizar o aplicativo, JavaScript que remove banners de consentimento de GDPR e cookies em todos os WebViews, e um pipeline OTA de Expo inativo que, se ativado, permitiria a injeção de JavaScript arbitrário em todos os dispositivos sem passar pela revisão da App Store. O aplicativo não implementa fixação de certificados, detecção de jailbreak, anti-tampering ou verificações de integridade em tempo de execução, deixando o tráfego de API facilmente interceptável por MITM em qualquer rede compartilhada.