Білий дім випустив найкрінжовіший застосунок року: він зроблений на WordPress, має кнопку доносу до ICE і код випадкового розробника з GitHub

Администрация Трампа выпустила официальное приложение в App Store и Google Play Store. Скачать его можно уже сегодня в iOS или Android, но будьте готовы: количество багов и кринжа в нем бьет все возможные рекорды.

Белый дом объявил об этом в пресс-релизе в пятницу, 27 марта, отметив, что приложение «предлагает американцам прямую связь с Белым домом». Официально оно включает пресс-релизы, фотогалереи, прямые трансляции и несколько неожиданных функций — в частности возможность написать SMS президенту Трампу и сообщить о ком-то в Службу иммиграции и таможенного контроля (ICE).

Первая версия приложения Белого дома имеет номер 47.0.1 — очевидный намек на то, что Дональд Трамп является 47-м президентом Соединенных Штатов. В приложении также есть функция «Text President Trump» («Написать президенту Трампу«), которая после нажатия формирует сообщение с текстом «Greatest President Ever!» («Величайший президент всех времен!») в поле ввода.

Согласно администрации, приложение Белого дома предлагает такие функции:

Получать срочные новостные оповещения о важных объявлениях, исполнительных действиях и ключевых приоритетах.
Смотреть прямые трансляции брифингов, речей и исторических событий в режиме реального времени.
Просматривать динамическую медиатеку, наполненную видеозаписями ключевых моментов.
Следить за последними достижениями в сфере политики.
Присылать свое мнение и обратную связь непосредственно администрации.

Этим в целом и исчерпывается содержание приложения — главная страница отображает фото президента Трампа с подписью «America Is Back» («Америка вернулась»). Главная страница содержит вкладки, посвященные «Приоритетам» и «Достижениям» президента Трампа, а также разделы «Доступность», «Инвестиционный бум», «TrumpRx», «Счета Трампа» и «Граница».

Устанавливать приложение Белого дома нет особого смысла — независимо от отношения к администрации Трампа. Приложение является агрегатором новостей и медиаконтента, размещенного на других сайтах, а также просто оболочкой для официального сайта Whitehоuse.gov. Впрочем, Белый дом утверждает, что приложение «обеспечивает непревзойденный доступ к администрации Трампа» — несмотря на то, что весь его контент и так доступен в других местах.

Нажатие на контент на странице «News» открывает статьи во встроенном браузере приложения, а переход на страницу «Live» показывает встроенные видео с YouTube. Аналогично страница «Social» агрегирует контент с X, TikTok, Instagram, Facebook, YouTube, LinkedIn, Truth Social и RSS-лент. Именно этот раздел является наиболее проблемным: при прокрутке ленты «Social» наблюдаются постоянные подвисания и слабая откликаемость.

Нажатие кнопки «Get in Touch» («Связаться») на этой странице открывает «Горячую линию ICE», которую приложение объясняет как способ «сообщать о подозрительных в Службу иммиграции и таможенного контроля США, чтобы поддерживать безопасность в общинах».

Единственная страница, на которой, похоже, размещен контент, хранящийся непосредственно в приложении Белого дома, — это «Gallery» («Галерея») с официальными фотографиями администрации. Впрочем, даже эти фото доступны на официальном сайте Белого дома. Другими словами, все содержимое приложения уже есть на сайте Белого дома и других социальных платформах — и работает там без багов.

Но самые большие сюрпризы обнаружила техническая часть приложения, если разобрать его по коду. Разработчик под ником Thereallo декомпилировал APK и обнаружил, что официальное правительственное приложение США встраивает JavaScript в каждый сайт, который вы открываете через встроенный браузер — чтобы скрыть cookie-баннеры, GDPR-предупреждения, формы входа и даже пейволы. То есть официальное приложение Белого дома технически является инструментом для обхода защиты авторских сайтов.

С GPS-слежением ситуация еще интереснее. В приложении обнаружен полноценный пайплайн геолокационного отслеживания от OneSignal, который фиксирует координаты каждые 4,5 минуты в фоновом режиме и каждые 9,5 минут в режиме сна, синхронизируя широту, долготу, точность и временную метку на сторонние серверы.

При этом в конфиге Expo есть плагин withNoLocation, который якобы должен был отключить геолокацию — но нативный код отслеживания OneSignal полностью скомпилирован в APK. Проще говоря: выключатель есть, но он ни на что не влияет.

Отдельный раздел стыда — архитектура приложения. Для воспроизведения YouTube-видео приложение загружает JavaScript с личной GitHub Pages страницы какого-то разработчика — lonelycpp.github.io. Если этот аккаунт сломают, любой код может выполниться внутри WebView каждого пользователя. То есть безопасность официального приложения правительства США зависит от того, не взломают ли личный GitHub какого-то незнакомца.

Также приложение загружает сторонний JavaScript от Elfsight для социальных виджетов — без всякой фильтрации. Один из исследователей прямо написал в своем анализе, что первокурсник-программист сделал бы лучше, и задал публичный вопрос CISA — федерального агентства по кибербезопасности США: где была проверка безопасности перед публикацией?

Само приложение, по данным кода, построено компанией под названием «forty-five-press» на React Native с бэкэндом на WordPress. Да, официальное приложение Белого дома работает на WordPress.

И вишенка на торте: анонсировали приложение с серией загадочных публикаций в соцсетях с глиссированным экраном и пикселизированными фото Трампа — администрация целыми днями отказывалась объяснять, что именно они рекламируют. Когда наконец пришло официальное объявление — оказалось, что это просто бесплатное приложение. А лента Truth Social в разделе Social, по данным тестировщиков, еще и показывает рекламу.