디컴파일러가 화이트하우스 Android 앱에서 보안 취약점 3가지를 발견했다

Context

화이트하우스 공식 Android 앱의 APK 파일을 디컴파일하여 내부 코드를 분석했다. Android 앱은 DEX 바이트코드로 컴파일되며 JD-GUI나jadx 같은 도구로 소스 코드를 역산할 수 있다. 공식 정부 앱에서 발생하는 보안 문제는 일반 소비자 앱보다 높은 수준의 신뢰 기대치를 형성한다.

Technical Solution

• White House Android App → AndroidManifest.xml 및 DEX 바이트코드 분석
• APKManifest.xml에서 권한 선언 확인 후 GPS 추적 간격이 270초로 설정된 것을 확인
• dex2jar로 DEX를 JAR로 변환하여 소스 코드 리버싱 수행
• app의 assets 폴더에서 외부 도메인의 JavaScript 파일이 로드되는 것을 확인
• WebView.loadUrl() 호출부를 추적하여 Cookie 간소화 인젝션 로직 확인

Impact

4.5분마다 GPS 좌표 수집으로 인한 사용자 위치 정보 유출 가능성 증가 외부 JavaScript 로딩으로 인한 Supply Chain 공격 벡터 노출

Key Takeaway

공식 앱도 디컴파일 방어가 미흡하면 내부 로직이 완전히 노출된다. 외부 스크립트 의존성은 앱 보안 및 개인정보 보호 측면에서 심각한 위험 요인이다.