백악관 앱, 개인 정보 수집 논란!

백악관 앱은 OneSignal을 사용하여 사용자의 위치 정보를 수집하는 코드를 포함하고 있다. 특히, 앱은 사용자의 위치, 정확도, 타임스탬프를 OneSignal 서버로 전송하며, 백그라운드에서도 위치 정보를 수집할 수 있도록 설계되었다. 위치 정보 수집(Location Tracking)은 사용자의 동의 없이 이루어질 경우 심각한 개인 정보 침해로 이어질 수 있으며, 데이터 미저장 정책(Zero-Retention Policy)을 준수하지 않을 경우 법적 문제로 이어질 수 있다.

앱 내 웹뷰(WebView)는 외부 웹사이트를 로드하고, 로드된 페이지에서 쿠키 배너(Cookie Banner), GDPR 배너(GDPR Banner) 등을 제거하는 JavaScript 코드를 주입한다. 또한, GitHub Pages 및 Elfsight와 같은 서드파티 스크립트를 로드하여 잠재적인 보안 위험을 야기한다. 서드파티 스크립트(Third-party Scripts)는 앱의 보안 취약점을 증가시키고, 사용자의 개인 정보를 유출할 수 있는 위험을 내포한다.

앱에는 개발 과정에서 사용된 로컬 IP 주소(Local IP Address), Expo 개발 클라이언트(Expo Development Client), Compose PreviewActivity 등과 같은 개발 관련 아티팩트가 포함되어 있다. 이러한 아티팩트는 보안 취약점(Security Vulnerabilities)을 유발하고, 앱의 무결성을 저해할 수 있다. 특히, 개발 관련 정보는 공격자에게 앱의 내부 구조를 파악하는 데 도움을 줄 수 있다.

앱은 SSL 인증서 고정(Certificate Pinning)을 사용하지 않아, 중간자 공격(Man-in-the-Middle Attack)에 취약하다. 이는 공용 와이파이(Public Wi-Fi)와 같은 안전하지 않은 네트워크 환경에서 앱과 서버 간의 통신이 가로채질 수 있음을 의미한다. SSL 인증서 고정(Certificate Pinning)은 보안을 강화하기 위한 필수적인 조치이며, 부재 시 데이터 유출 위험이 증가한다.