White House의 공식 Android 앱이 쿠키/페이월 우회 인젝터, 4.5분 단위 GPS 추적, GitHub Pages의 외부 JavaScript 로드로 인한 보안 취약점 노출

Context

White House의 공식 Android 앱이 디컴파일 분석 결과 여러 보안 문제를 내포하고 있었다. 앱이 인증 우회, 위치 정보 수집, 외부 의존성 관리에서 취약한 구조를 가지고 있었다.

Technical Solution

• 쿠키/페이월 우회 인젝터: 앱 내에 인증 검증을 우회하는 메커니즘이 포함되어 있음
• GPS 추적: 4.5분 간격으로 사용자의 위치 정보를 수집하는 기능이 구현됨
• 외부 JavaScript 로드: GitHub Pages의 개인 계정에서 동적으로 JavaScript 코드를 로드하는 구조

Impact

아티클에서 정량적 수치나 영향도 측정 데이터가 제시되지 않음

Key Takeaway

Android 앱 보안 분석을 통해 공식 애플리케이션에서도 인증 우회, 위치 추적, 외부 코드 로드 등 공급망 보안 위험이 존재할 수 있음을 드러낸 사례다. 모바일 앱 개발 시 인증 메커니즘 강화, 위치 정보 수집 최소화, 신뢰할 수 있는 내부 서버에서만 코드 로드가 필수적이다.