보안 연구팀이 White House 앱 트래픽을 가로채 77%가 third-party로 전송됨을 확인했다

Context

Static analysis는 컴파일된 코드가 실제로 실행되는지를 증명하지 못한다. 기존 White House 앱의 decompilation 결과에 대한 비판을 받았다.

Technical Solution

• Mac에서 mitmproxy를 설치하고 iPhone 트래픽을 프록시 경유하도록 구성했다
• iOS 기기에 mitmproxy CA 인증서를 설치하고 신뢰 설정을 완료했다
• White House 앱(v47.0.4)에서 Home, News, Live, Social, Explore 탭 전체를 탐색하며 모든 HTTPS 트래픽을 복호화하고 기록했다
• 31개 고유 호스트에서 총 206개 요청을 포착했으며 수정 없이 원본 트래픽만 관찰했다

Impact

• 206개 요청 중 48개(23%)만 whitehouse.gov로 전송되고 158개(77%)가 third-party로 전송되었다
• OneSignal에 단일 앱 실행 시 language, timezone, country, IP 주소, device model, OS 버전, session count, session duration, persistent identifier 등 10개 이상의 데이터가 전송되었다
• 13개 Elfsight 도메인에서 10개 이상의 tracking cookie가 설정되었다

Key Takeaway

실시간 트래픽 분석 결과 Privacy Manifest의 "No Data Collected" 명시와 달리 OneSignal, Elfsight, Google DoubleClick 등이 사용자를 추적하는 것으로 밝혀졌다