GN⁺ 2달전 | parent | ★ favorite | on: 백악관 공식 앱 디컴파일 결과 드러난 추적 및 외부 코드 구조(thereallo.dev)
Hacker News 의견들

  • 기사 내용이 AI가 쓴 것처럼 보여서 좀 의심스러웠음
    호기심에 앱을 직접 설치해봤는데, 기사 주장과 달리 위치 권한 요청은 전혀 없었음
    Claude Code로 APK를 디컴파일해봤지만, 이 도구는 도달성 분석이나 복잡한 제어 흐름 파악에는 약함
    호출되지 않는 죽은 코드도 실제 사용되는 함수처럼 다뤄서 오해를 일으킴

    • 기사에 나온 권한 목록에도 위치 권한은 없었음
      런타임에서 위치를 요청하려면 반드시 선언이 필요한데, 그 부분이 없음
      내 폰(아마 Graphene 때문일 수도 있음)에서는 Play가 설치를 막아서 APK를 직접 확인하진 못했음
      Play 스토어의 “정보 → 권한” 항목을 보면 47.0.1 버전은 네트워크 접근, 진동 제어, 알림 표시 등 일반적인 권한만 있음
      아마 버전 롤아웃이나 기기별 타깃팅일 가능성이 있음
    • “AI가 쓴 것 같다”는 근거가 구체적으로 있는지 궁금함
      나는 그렇게 느껴지진 않았음
    • 기사는 앱이 위치 권한을 요청한다고 한 게 아니라, JS 한 줄로 위치를 가져올 수 있다고 설명한 것임
    • 혹시 앱 버전이 다른가?
      iPhone App Store 기준으로 47.0.1 버전이 34분 전에 올라왔고, “사소한 버그 수정”이라고 되어 있음
      아마 그 수정에 위치 관련 코드가 포함됐을 수도 있음
    • 디컴파일 과정에서 앱이 거짓 정보를 보여줬을 가능성은 없는지 궁금함

  • 전형적인 컨설팅 회사의 마케팅 앱처럼 보였음
    외주 개발자가 표준 아키텍처를 사용하면서 위치 추적 코드 같은 게 기본 포함된 듯함

    • 위치 추적 코드는 OneSignal SDK 안에 포함된 것임
      이건 단순히 푸시 알림용 플랫폼이라, 앱이 직접 권한을 요청하지 않으면 아무 일도 안 함
    • 45Press가 그런 회사임
      백악관 관련 지원 계약(약 150만 달러 규모)을 따내서 이런 앱을 만든 것 같음
    • 예전처럼 US Digital Service가 남아 있었다면 이런 걸 제대로 만들 수 있었을 텐데 아쉬움
      지금은 거의 해체돼서 DOGE라는 조직으로 바뀌었고, 여러 소송에 휘말려 있음
      United States Digital Service 위키 문서
    • r8이 React Native 코드를 제대로 이해하지 못해서 죽은 코드 제거(tree shaking) 를 제대로 못함
      그래서 다른 앱에서 재사용된 흔적이 남아 있는 듯함
    • “Visit TrumpRx.gov”라는 문구를 보고 깜짝 놀랐음
      .gov 도메인을 상업적 홍보에 쓰는 게 가능한지 의문임

  • 만약 기사 내용이 사실이라면, 이는 자유의 상징적 종말을 의미하는 사건일 것임
    미국이 자랑하던 가치가 사라지는 느낌임

  • 정부 공식 앱이 제3자 웹사이트에 CSS와 JavaScript를 삽입해 쿠키 배너나 페이월을 제거한다는 건 놀라움
    나는 비공개 정부 앱은 설치하지 않겠지만, 기능 자체는 uBlock처럼 긍정적으로 보임

  • 사이트가 너무 느려서 거의 사용할 수 없었음
    내 2019년형 MacBook Pro + Chrome 환경에서 스크롤이 심하게 끊김

    • Firefox 149 (Windows 10)에서도 스크롤이 엉망이었음
      아이러니하게도, 웹 개발을 비판하는 기사가 이런 웹 성능 문제를 보임
    • 모바일 Firefox(151.0a1)에서도 스크롤이 너무 버벅거려서 읽기 힘들었음
    • ThinkPad + Chrome 환경에서도 동일한 현상 발생
    • 원문 사이트의 웹 품질이 형편없음에 동의함
    • Android 14 + Firefox 148.0.2에서는 정상 작동했음

  • 인증서 pinning이 없다는 비판은 좀 과장된 것 같음
    MITM 공격이 가능한 네트워크에 있더라도, 내 기기가 그 CA를 신뢰하지 않으면 TLS 오류가 날 뿐임

    • 하지만 누군가 내 폰이 신뢰하는 CA로 서명된 인증서를 발급받는다면 이야기가 달라짐
      예를 들어, 감시가 일상적인 특정 국가의 대사관 근처 카페에서 트래픽을 가로채는 경우를 상상해볼 수 있음
      이런 일은 드물지만 완전히 불가능한 건 아님
    • MDM을 사용하는 조직이라면 자체 CA를 기기에 푸시할 수 있어서 예외가 생김
    • 이 논의는 이미 구식 보안 관행에 기반한 것이라 현재에는 크게 의미가 없음

  • 이 사이트는 브라우저가 멈출 정도로 무거움
    리더 모드로만 겨우 읽을 수 있었음

    • 나도 같은 현상을 겪었음
      태블릿 문제인 줄 알았는데, 다른 사람들도 그렇다니 흥미로움

  • 스크롤 시 GPU 부하가 심해서 그래픽 리소스 사용량이 높음

  • 요즘 백악관은 법 위반이 일상인 것 같음

  • 처음부터 악성코드일 거라고 가정했음, 그리고 그 예상이 맞았음