Tecnología, Internet y juegos
169 meneos
1640 clics
He descompilado la nueva aplicación de la Casa Blanca (ENG)

He descompilado la nueva aplicación de la Casa Blanca (ENG)

La aplicación oficial de Android de la Casa Blanca incluye un inyector para eludir las cookies y los muros de pago, rastrea tu GPS cada 4,5 minutos y carga código JavaScript desde las páginas de GitHub de un tipo cualquiera.

| etiquetas: app , casa blanca
74 95 0 K 403
43 comentarios
74 95 0 K 403
Comentarios destacados:            
skaworld #3 skaworld
Seguramente haya maldad ahi, pero tampoco descartemos un nuevo caso de Vibe Coding que vibra tanto que te deja temblando....
25 K 224
El_Tio_Istvan #10 El_Tio_Istvan
#3 no se yo. Hay cosas muy concretas. Si ha sido vibe ha sido un vibe muy malo.
3 K 26
#19 Onaj *
#3 La localización viene porque usan Signal. El código que muestra es del SDK de Signal (onesignal), no es del programador en sí mismo.

Remember withNoLocation from the Expo config? The plugin that's supposed to strip location? Yeah. The OneSignal SDK's native location tracking code is fully compiled into the APK.

Es una funcionalidad de Onesignal para enviar notificaciones y mensajes por región. Es cierto que lo debe activar el programador ya que está desactivado por defecto.

Más…   » ver todo el comentario
4 K 47
#27 chavi
#19 Je. El dueño de ese repo puede hacer virguerías...xD
0 K 12
sieteymedio #5 sieteymedio
Si eres tan imbécil como para instalarte una aplicación de la Casa Blanca, seguramente esté información no te importará.
12 K 136
anv #21 anv
#5 Si eres tan imbécil como para instalarte una aplicación de la Casa Blanca

Es que hemos llegado a un punto ridículo. Nos tomó muchas décadas pasar de aplicaciones específicas a la web donde una sola aplicación (el navegador) sirve para todo. Ahora nos están llevando a instalar de nuevo aplicaciones para cada cosa. A veces es tan ridículo como que la aplicación es un simple browser capado para ver una única página.
5 K 72
aPedirAlMetro #4 aPedirAlMetro *
"carga código JavaScript desde las páginas de GitHub de un tipo cualquiera."

Es una librería de código abierto con más de 700 estrellas.
github.com/LonelyCpp/react-native-youtube-iframe

Toda la industria funciona así.
Dependency: xkcd.com/2347/
13 K 123
Blackat #6 Blackat
#4 La APP de un gobierno NO deberia funcionar asi. No sera la primera ni la ultima vez que se usa una libreria como esa para poner patas arriba medio internet.

No podiamos esperar nada mejor que esto...una mierda , como todo lo que toca Trump
10 K 86
aPedirAlMetro #7 aPedirAlMetro *
#6 "No podiamos esperar nada mejor que esto...una mierda , como todo lo que toca Trump"
Te lo repito: Toda la industria funciona así. (el 99.99999% de las aplicaciones que interactuas, tiran de codigo abierto. Empresas, institucione spublicas, bancos, ...)

Sea Trump una mierda o no lo sea (que lo es)
8 K 95
santim123 #8 santim123
#7 Toda la industria te cobra millonadas por desarrollos exclusivos a medida que son copia pega de GitHub
1 K 29
aPedirAlMetro #9 aPedirAlMetro *
#8 Ehmm... no.
En Github encuentras componentes, piezas, con las que construir tu aplicación.

Cuando construyes un robot, por poner un ejemplo, no diseñas y fabricas los multiples chips, sensores, motores, actuadores y componentes que vas a necesitar. Quizas alguno si te toque, pero no es la norma. Lo que haces es seleccionar que componentes usaras, orquestrarlo todo, configurarlo a medida de tus necesidades, integrarlo en tu diseño, e implementar la capa que hace de tu creación algo único.

Pues con el desarrollo de software es lo mismo.
No tiene ningun sentido reinventar la rueda
6 K 59
#30 chavi
#9 Imaginate que el.dueño de cada pieza de tu robot puede modificarla según le place o de retirarla sin más.

Ojo, no una pieza igual a la que usa tu robot, si no la misma pieza que está en el robot.

Pues esa es la situación
1 K 22
aPedirAlMetro #38 aPedirAlMetro
#30 "Imaginate que el.dueño de cada pieza de tu robot puede modificarla según le place o de retirarla sin más"
Cuando descubras lo que es hacerle "pin" a una versión, veras que lo que has dicho es una chorrada.
0 K 12
#43 chavi
#38 Pero quien ha dicho que cambie la versión? Puede modificar el código sin variar la versión.
0 K 12
#15 sisi *
#7 No.
Una cosa es tirar de código abierto, y otra es que tu aplicación ejecute codigo abierto, bajado en el momento de ejecución de un repositorio que no es tuyo.
No seria la primera vez que ese repositorio de la noche a la mañana se convierte en maligno.
Esto se soluciona simplemente haciendo una copia de la librería de marraras a un repositorio bajo tu control, o embebiendo la libreria en tu distribución
18 K 164
#22 sisi
#18 Sí, hay marranos que lo hacen… Pero cualquier aplicación seria mantiene su código fuente y copias de las librerías que utiliza en repositorios bajo su control. Al menos nosotros lo hacemos así. Debemos de ser ese 0,01 %.

Lo del enlace de XKCD no hace referencia a esto. XKCD hace referencia al bug en la implementación de SSH que permaneció oculto durante años. Miles de programadores tuvieron la posibilidad de examinar ese código y no lo vieron, hasta que alguien lo vio.

El hotlinking es…   » ver todo el comentario
1 K 17
musg0 #41 musg0
#15 En JavaScript puedes cargar un archivo remoto especificando un hash y si el archivo cambia no se cargaría. Creo que es mejor servir el contenido local y no depender de servidores de terceros, pero si se usa el hash es suficiente para que no te cuelen un troyano

developer.mozilla.org/en-US/docs/Web/Security/Defenses/Subresource_Int
0 K 7
#24 int21h
#7 Una cosa es que una app use código abierto (fabuloso), y otra que acceda a un repositorio sobre el que no tiene control (fatal).
0 K 7
#29 chavi
#7 Tirar de código abierto no es lo mismo que usar un código que descargas de internet del que no tienes ningún control. Lo mínimo es usar una copia o un fork propio
1 K 21
Cuñado #23 Cuñado
#6 La app de un gobierno debería ser open source. Es decir, auditable.

Y para que una aplicación sea auditable sus dependencias también deben serlo.

No sera la primera ni la ultima vez que se usa una libreria como esa para poner patas arriba medio internet.

¿Qué significa una libreria como esa? ¿Cuáles son las librerías que se salvan?
0 K 9
triste_realidad #25 triste_realidad
#23 Entiendo a que se refieren a que tu no enlazas desde tu aplicación al github original, si no a una copia tuya de esa libreria.
1 K 19
Blackat #26 Blackat
#25 Y protegida bajo llave. Nadie en sus sano juicio lo hace.

Lo de que deberia ser OpenSource , en base a que ? Justifica tu opinion
0 K 8
#32 jorgegv *
#26 basicamente porque esta pagada con dinero publico, asi que es de todos, y por tanto todos deberían tener acceso al codigo fuente.
0 K 9
Blackat #33 Blackat
#32 El ejercito tambien lo pagamos todos y por seguridad, es practicamente opcaco. Hacienda somos todos, y en sus algoritmos es opaca.

Confundir buenas intenciones o creative commons con la seguridad de un pais es de primero de manual.
0 K 8
Cuñado #34 Cuñado
#25 ¿En qué te basas? Enlaza al repositorio original.
0 K 9
anv #17 anv
#4 Yo prefiero siempre descargarme una copia de esas cosas y ponerlas en mi propio servidor. No tanto por paranoia sino por algo más sencillo: no depender de nada externo que pueda introducir otro punto de fallo.
0 K 7
#20 Onaj *
#4 ¿Soy el único raro que ve eso muy inseguro y prefiere hacerse un fork?

Claro que quizás estás cargando decenas de librerías y no puedes tener todas las actualizaciones de todas en el radar.

Yo al menos nunca referencio directamente porque luego te pasas como con las librerías de google que el señor Tebas te las bloquea y te quedas sin estilos en la web. O me las descargo o referencio a un fork propio.
3 K 35
#31 chavi
#20 Los raros son quienes no lo hacen.
Tampoco es necesario un fork, con una copia de la distribución vale
0 K 12
#28 chavi
#4 Pues toda la industria es imbécil.
El dueño del repo puede borrar todo de hoy para mañana o cambiar el código según le interese.

Es suyo
0 K 12
aPedirAlMetro #39 aPedirAlMetro
#28 No puedes borrar un repo de npmjs. Ni editar el contenido de una version ya publicada.
Infórmate un poco mejor anda.
0 K 12
#42 chavi
#39 GitHub. Hablamos de Github
Yo borro mi repo git de GitHub si quiero.

0tra cosa son los repos npm que tienen cachés y políticas de borrado.
0 K 12
#1 slimedition
Chorprecha!!
2 K 37
angelitoMagno #12 angelitoMagno
An official United States government app is injecting CSS and JavaScript into third-party websites to strip away their cookie consent dialogs, GDPR banners, login gates, and paywalls.

¿Una app para ver las noticias que te quita todas las cookies, muros de pago, solicitudes de registro y avisos de privacidad?

Que bien pensado, ¿algo equivalente pero para noticias de España?
1 K 33
#2 woke
un auténtico troyano
1 K 30
themarquesito #14 themarquesito
#2 Peor, un trumpiano
12 K 118
#11 alhambre
> An official United States government app is injecting CSS and JavaScript into third-party websites to strip away their cookie consent dialogs, GDPR banners, login gates, and paywalls.

Pues lo que hace mi firefox vitaminado. Bien por trump, greatest developer.
1 K 26
#36 chavi
Hacer eso es una burrada. Quedas vendido.
0 K 12
#35 chavi
Las librerías que tú controlas.
0 K 12
#13 Onaj
It took a few minutes to pull the APKs with ADB, and threw them into JADX.

No conocía JADX, qué bueno. Me lo apunto.
0 K 12
pacote #37 pacote
Symantec ha marcado la web como maliciosa, me bloquea si intento acceder al contenido.
0 K 9
#40 mariopg
confirmamos lo que ya sabíamos, que en la casa blanca son malvados y estúpidos
0 K 8
#16 Jota.Jota
poco me parece.
muy poco me parece.
0 K 6

menéame