화이트하우스 공식 앱의 네트워크 트래픽을 가로채 분석한 결과

Context

White House 공식 앱의 네트워크 트래픽을 분석함. 전체 요청 중 3rd-party 요청 비율이 77%에 달함. Privacy manifest에는 데이터 수집 없음으로 기재했으나 실제로는 데이터 전송이 발생함.

Technical Solution

Mac 환경에 mitmproxy를 설치함. iPhone 트래픽을 프록시 서버로 라우팅함. 사용자 인증서 설치를 통해 HTTPS 트래픽을 복호화하여 분석함. AppGoblin을 통해 앱 내 SDK 목록을 교차 검증함.

Impact

OneSignal을 통해 기기 모델, IP, 세션 수, 추적 ID가 전송됨을 확인함. 이는 명백한 허위 인증(false attestation) 사례임. Certificate Pinning이 적용되지 않은 앱은 MITM 공격에 취약함을 증명함.

Key Takeaway

정부 앱은 일반 B2C 앱보다 높은 보안 표준을 적용해야 함. 폰트는 자체 호스팅하고 분석은 1st-party 방식을 채택해야 함. 외부 요청은 잠재적인 데이터 유출 벡터로 간주하여 관리해야 함.