文章总结： 文档揭露白宫强制联邦机构安装的官方应用存在严重安全隐患，包括依赖未经验证的第三方服务商、隐私声明与实际数据收集行为不符、代码缺乏基本安全加固措施，可能成为政府网络的后门。专家指出该应用具有政治宣传性质，且安全标准低于商业应用，在战争背景下构成国家级风险。 综合评分： 84 文章分类： 网络安全,移动安全,数据安全,政策法规,安全建设

被强制安装的“后门”：白宫新应用如何以政治之名威胁联邦网络安全

原创

网空闲话 网空闲话

网空闲话plus

2026年5月23日 07:50 北京

在小说阅读器读本章

去阅读

一款名为“白宫”的官方移动应用程序，正从面向公众的“信息直通车”，演变为一场渗透美国联邦政府内部、充满争议的数字化强制实验。2026年5月下旬，白宫正式指令各联邦机构，在所有政府配发的公务手机上强制安装这款于3月27日上线的应用。据政府行政媒体（Government Executive）获取的内部通讯，联邦首席信息官格雷格·巴巴西亚（Greg Barbaccia）已向各机构IT负责人下达命令，要求协助白宫厘清“推动该应用在政府手机上全面铺开的机制”。美国联邦航空管理局（FAA）随即通知员工，其IT团队“将根据白宫指示，在所有FAA配发的iPhone和iPad上自动安装‘白宫’应用程序”，该过程“自动进行，员工无需也无法采取任何行动”，下载将于下周启动。

一、“未经过滤”到“强制灌输”：突破底线的内部渗透

白宫在3月27日的官方新闻稿中，将这款应用描绘为提供“前所未有的渠道接触特朗普政府”，使民众能“直接获取来自白宫的实时、未经过滤的信息更新，从而摆脱各种干扰”。总统特朗普本人更在社交媒体上将其称为“获取您最喜爱总统所有新闻的第一手渠道”，并鼓励所有支持者下载。截至4月初，白宫Instagram页面宣称该应用下载量已达200万次。

然而，当应用被强制推送给数百万联邦雇员时，其宣传本质暴露无遗。前人事管理局副首席信息官戴维·内斯廷（David Nesting）——他曾在公务员体系中历任多个技术职务——直言不讳地指出：“这根本不是出于运营目的。这完全是确保所有联邦雇员都被迫看到他们向公众推送的相同宣传材料。”

应用的界面设计印证了这一判断。它整合了来自福克斯新闻（Fox News）和Newsmax等总统偏爱媒体的文章链接，以及白宫社交媒体账号的信息流。最令人侧目的是一个“给特朗普总统发短信”的按钮，点击后会自动打开手机短信界面，收件人为预设号码，正文则是一句自动生成的“史上最伟大的总统！（Greatest President Ever!）”。发送此短信即完成用户的消息提醒注册。这些内容明显具有政治乃至竞选色彩，而联邦雇员在工作时间被法律与职业规范要求严格避免参与党派性活动。此举从根本上模糊了政府行政通讯与政治宣传的法律与伦理边界。

二、业余开发背后的国家级风险：当“WordPress公司”掌管白宫数字大门

比政治争议更为紧迫的，是网络安全专家揭露的系统性技术缺陷。2026年4月3日，NOTUS率先对该应用的安全问题进行了深度调查。多位审阅了应用代码的专家对联邦政府“如此草率地处理网络安全问题感到震惊，尤其是在美国正处于战争状态的情况下”。

问题首先暴露在开发者资质上。 应用的代码显示，其开发者是一家名为45Press的俄亥俄州公司。根据公开合同信息，该公司于2026年2月6日获得了一笔超过140万美元的合同，用于支持白宫在线服务。然而，该公司在X平台（原推特）上的简介仅提及其提供“专业的WordPress开发、设计、托管、电子商务等服务”，对移动应用开发经验只字未提。前联邦调查局情报分析师菲利普·菲尔兹（Philip Fields）对此讽刺道：“让一个业余的WordPress开发者来运营白宫的公共网站，会让所有访问白宫的人都面临风险。如果这只是App Store上某个不知名小公司的应用程序……那根本就不是什么新闻。但事实并非如此，这里是白宫。”

其次，第三方集成暴露出惊人的安全缺口。 应用严重依赖外部服务，但未遵循联邦政府系统通常采用的FedRAMP或GovCloud等经严格审查的认证云服务标准。问题之一来自俄罗斯裔创立的小部件供应商Elfsight，其集成曾导致部分白宫工作人员的私人信息在应用中暴露，研究人员向NOTUS提供的屏幕截图证实了这一点。白宫官员在声明中承认“Elfsight已经过白宫信息技术部门的全面安全审查，并获准使用。这是Elfsight方面的漏洞——他们已被告知此事”，但这一承认本身恰恰坐实了安全审查的失效。

推送通知服务商OneSignal则需要获取用户唯一的数字指纹、移动运营商、手机型号、网络类型、操作系统版本以及应用使用时长和频率等大量信息。OneSignal首席营销官回应称这些数据收集是“推送通知平台的标准做法”，并指出开发商有义务向用户披露这些数据收集行为。然而——

第三，隐私声明与实际行为严重不符，构成对用户的系统性误导。 多名网络安全专家指出，白宫应用在苹果App Store的隐私标签中完全未提及其数据收集行为。一位因害怕白宫报复而要求匿名的研究人员告诉NOTUS：“它似乎向这些第三方共享了大量用户数据。问题在于，其隐私声明声称不会共享这些信息，但实际上却会……这对最终用户的隐私构成威胁，因为实际上，他们误导了用户，让他们对数据的共享方式产生误解。”该研究人员同时指出，这种披露缺失通常会导致应用被苹果商店下架。

网络安全研究员Thereallo在分析安卓版本代码后表示：“下载官方政府应用程序的用户理应期望他们的数据保留在美国政府系统内，而不是流向商业第三方平台。”

第四，代码本身缺乏基本的现代安全加固措施。 该应用未使用任何代码混淆或证书绑定技术，使其代码和网络流量极易被逆向工程并发现漏洞。网络安全研究员亚当·恩格尔（Adam Enger）警告：“高级攻击者已经领先我十英里了。他们密切关注着这款应用的每一次更新，比较版本，寻找任何漏洞。如果我周五晚上花一个小时就能独自发现这个问题，那么我们的对手在这方面究竟掌握了多少信息？”此外，应用的YouTube嵌入式代码来自一个个人GitHub账户，一旦该账户被盗，攻击者可借此影响所有应用用户。

值得注意的是，该应用上线首周内已为其苹果版本推送了四次更新，其中两次被描述为“修复一些小错误”。最初版本中遗留的GPS位置追踪权限——据X用户Thereallo分析，安卓版本约每4.5分钟即可追踪一次位置——已在后续更新中被移除，但这一功能的存在本身就已严重侵蚀信任基础。原子计算机服务公司（Atomic Computer Services）对iOS版本的研究也证实了GPS追踪代码的存在，并评论道：“我们审核过一些只有三名员工的初创公司的应用，它们的安全性都比这个好。”

三、前车之鉴与制度性隐忧

这已非本届政府首次寻求建立直接覆盖全体联邦雇员的信息传达系统。2025年初特朗普重新入主白宫后不久，人事管理局（OPM）就建立了首个政府范围内的群发电子邮件系统，后来正是通过该系统发送了旨在诱导数十万联邦雇员辞职的“岔路口”延期辞职要约。

当这款安全标准被专家判定低于普通初创公司的应用，强行进驻数百万联邦雇员的公务设备时，前总务管理局IT高管桑尼·哈什米（Sonny Hashmi）的警告显得格外沉重：“任何安装在政府配发设备上的应用，都可能为防火墙后的政府网络创建后门访问通道。”参议院司法委员会资深成员迪克·德宾（Dick Durbin）参议员的声明则从更宏观的制度层面敲响警钟：“鉴于本届政府持续削减网络安全和基础设施安全局以及其他旨在应对网络安全威胁的机构的资金，特朗普白宫应该将更多精力放在保护美国人民身上，而不是那些可能威胁国家安全的应用程序上。”

参考文献

[1] Katz, E., & Alms, N. (2026, May 22). The White House is ordering agencies to place its new app on all employees’ government phones. Government Executive. https://www.nextgov.com/digital-government/2026/05/white-house-ordering-agencies-place-its-new-app-all-employees-government-phones/413741/

[2] Kennard, E., & Larreur, S. (2026, April 3). White House app contains extensive cybersecurity vulnerabilities. NOTUS. https://www.notus.org/technology/trump-white-house-app-cybersecurity

[3] Milden, D. (2026, April 8). I downloaded and deleted the White House app so you don’t have to. It’s a hot mess. CNET. https://www.cnet.com/tech/services-and-software/i-downloaded-and-deleted-the-white-house-app-so-you-dont-have-to-its-a-hot-mess/

[4] The White House. (2026, March 27). New White House app delivers unparalleled access to the Trump administration. https://www.whitehouse.gov/releases/2026/03/new-white-house-app-delivers-unparalleled-access-to-the-trump-administration/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网空闲话plus 网空闲话 网空闲话《被强制安装的“后门”：白宫新应用如何以政治之名威胁联邦网络安全》