Um desenvolvedor decompiou o APK do novo app da Casa Branca e encontrou o que ninguém esperava: Huawei Mobile Services embutido, um pipeline completo de rastreamento GPS via OneSignal, e permissões que fariam qualquer spyware comercial sentir inveja. Tudo isso no app oficial do presidente que baniu a Huawei.

O App Que Ninguém Pediu

Na última sexta-feira, 28 de março de 2026, a administração Trump lançou o app oficial da Casa Branca na Google Play e App Store. A proposta? “Acesso sem precedentes” à administração — press releases, livestreams, atualizações de políticas. Um app de notícias governamental, basicamente.

O problema é que um pesquisador de segurança conhecido como Thereallo resolveu fazer o que qualquer pessoa curiosa faria: baixou o APK, jogou no JADX e decompiou tudo. O que ele encontrou transformou um “app de notícias” numa bomba de privacidade.

A versão 47.0.1 do app pede acesso a: localização GPS precisa, leitura de impressão digital biométrica, modificação de armazenamento, execução automática na inicialização do dispositivo, sobreposição em outros apps, leitura de conexões Wi-Fi e acesso a notificações. Para um app que supostamente só mostra comunicados de imprensa.

Huawei Dentro do App do Presidente Que Baniu a Huawei

Eu precisei ler duas vezes pra ter certeza de que não era sátira. E olha que eu já vi coisa absurda na área de segurança.

Uma auditoria feita pelo Exodus Privacy — ferramenta open-source que analisa APKs Android em busca de trackers e permissões — identificou três rastreadores embutidos no app. Um deles é o Huawei Mobile Services Core.

Sim, aquele Huawei. A mesma empresa chinesa que o governo dos Estados Unidos sancionou por questões de segurança nacional. A mesma cujos equipamentos de rede foram banidos da infraestrutura americana. A mesma que virou sinônimo de “ameaça à segurança” nos discursos do próprio presidente.

E agora o SDK dela está compilado dentro do app oficial da Casa Branca.

A ironia é tão grossa que dá pra cortar com faca. O mesmo governo que proibiu o TikTok por ser “spyware chinês” lançou um app com componentes de rastreamento da Huawei embutidos. Ninguém consegue inventar isso.

O Pipeline de GPS Que Sabe Onde Você Está

O Thereallo mergulhou no código decompiado e encontrou algo que vai além de simples analytics. O app contém um pipeline completo de rastreamento GPS construído sobre o SDK do OneSignal, uma empresa comercial de notificações push.

Os números são bem específicos:

A cada 4 minutos e meio, enquanto você está usando o app, ele coleta sua posição exata. Quando você minimiza o app, o intervalo aumenta para 9 minutos e meio — mas continua coletando.

Mas Calma, Tem Um Asterisco

Depois que a análise inicial viralizou — o post do Thereallo no X acumulou quase 260 mil visualizações — outros desenvolvedores começaram a revisar o código. E aqui a história fica mais nuançada.

O sistema de tracking tem três “portões” (gates) que precisam ser ativados antes de começar a coletar dados de localização. Desenvolvedores independentes que revisaram o código decompiado confirmaram que, na versão atual, esses portões não estão ativos. O app não dispara o prompt de permissão de localização durante a instalação.

Então tá tudo bem? Não exatamente.

O problema é que toda a infraestrutura está lá, compilada no app. Como um pesquisador do atomic.computer apontou: os servidores da OneSignal podem ativar remotamente o rastreamento GPS, mudar as configurações de consentimento de privacidade e alterar o comportamento do app — tudo sem precisar de uma atualização, sem revisão da Apple, e sem que o usuário saiba.

É como ter uma arma carregada na gaveta e dizer “mas ela tá com a trava”. A trava pode ser removida a qualquer momento, remotamente.

Perfilamento de Usuário: Muito Além do GPS

O rastreamento de localização é só a ponta do iceberg. O código decompiado revela um sistema completo de perfilamento de usuários via OneSignal:

• Segmentação por audiência: o SDK categoriza usuários em tags para segmentação
• Associação de telefone: números de celular são vinculados a perfis de usuário
• Identificação cross-device: o sistema rastreia o mesmo usuário em múltiplos dispositivos usando aliases
• Monitoramento de notificações: cada notificação recebida é logada, incluindo se foi aberta ou ignorada
• Interações in-app: mensagens exibidas dentro do app são rastreadas
• Mudanças de estado: alterações em permissões, assinaturas e estado do usuário são registradas

Todos esses dados fluem para os servidores da OneSignal. Uma empresa privada, comercial, que vende serviços de engajamento. Com dados do app oficial do presidente dos Estados Unidos.

A Versão iOS Não É Melhor

Pesquisadores independentes do atomic.computer fizeram engenharia reversa na versão iOS e encontraram problemas igualmente preocupantes:

Uma empresa russa executando JavaScript ao vivo — o app carrega código de uma empresa com sede na Rússia que executa JavaScript em tempo real dentro do aplicativo.

Privacy manifest falso — o manifesto de privacidade da Apple (obrigatório desde 2024) declara um array vazio para tipos de dados coletados e define tracking como false. Mas o app contém múltiplos frameworks de analytics com rastreamento GPS. Isso viola diretamente a Seção 5.1.2 das App Store Review Guidelines.

Burla de consentimento de cookies — e aqui fica surreal. O código do app especificamente busca elementos do OneTrust e CookieConsent por nome, usando um MutationObserver para esconder os banners de consentimento. O app oficial do governo americano está programaticamente contornando mecanismos de consentimento de privacidade legalmente obrigatórios em sites de terceiros.

// Trecho simplificado do comportamento encontrado
const observer = new MutationObserver((mutations) => {
  // Busca e esconde elementos de consentimento OneTrust/CookieConsent
  document.querySelectorAll('[class*="cookie-consent"]').style.display = 'none';
});

Eu já vi muito código duvidoso em apps corporativos, mas um app governamental removendo banners de consentimento de cookies é um novo nível.

Fedware: O Problema É Muito Maior Que a Casa Branca

O pesquisador de segurança Sam Bent decidiu ir além do app da Casa Branca. Ele analisou todos os apps de agências federais americanas que encontrou na Google Play, usando o Exodus Privacy para auditar permissões e trackers.

O resultado? Um fenômeno que ele batizou de “Fedware”: apps governamentais que espionam mais do que os apps que o próprio governo proíbe.

FBI: myFBI Dashboard

O app do FBI pede 12 permissões, incluindo:

• Modificação de armazenamento
• Escaneamento de redes Wi-Fi
• Descoberta de contas (pode ver quais contas existem no seu dispositivo)
• Leitura do estado do telefone
• Inicialização automática no boot

E contém 4 rastreadores, um dos quais é o Google AdMob — um SDK de servir anúncios. O app oficial de uma agência de inteligência vem com uma plataforma de publicidade embutida. Nas palavras do Bent: “o app de notícias do FBI tem mais trackers que a maioria dos apps de clima.”

FEMA App

O app da FEMA — a agência de emergências — pede 28 permissões, incluindo localização precisa e aproximada. Versões anteriores tinham 4 rastreadores; a versão 3 reduziu para 1. Uma melhoria, mas 28 permissões para um app de alertas de emergência ainda é exagerado.

O Botão do ICE

De volta ao app da Casa Branca: entre os recursos “úteis” do app, existe um botão que redireciona diretamente para a página de denúncias do ICE (Immigration and Customs Enforcement). Um app com rastreamento GPS embutido que tem um link direto para denunciar imigrantes.

Não vou nem comentar sobre as implicações. O leitor pode tirar suas próprias conclusões.

A Política de Privacidade Que Não Existe

A política de privacidade da Casa Branca foi atualizada pela última vez em 20 de janeiro de 2025 — mais de um ano antes do lançamento do app. O documento não menciona:

• O aplicativo móvel
• Rastreamento GPS
• OneSignal
• Coleta de dados de localização
• Acesso biométrico
• Coleta de dados em background
• Huawei Mobile Services

Basicamente, o app está operando num vácuo legal de privacidade. Nenhuma das práticas de coleta de dados tem base em uma política publicada.

O X (antigo Twitter) adicionou uma Community Note ao post original em menos de 48 horas, alertando que o app “rastreia a localização precisa dos usuários a cada 4.5 minutos via OneSignal, sincronizando coordenadas com servidores externos.”

Quem Construiu Isso?

A configuração do Expo embutida no APK revela que o app foi construído por uma entidade chamada “forty-five-press”. É um app React Native construído com Expo SDK 54, rodando no engine JavaScript Hermes, com um backend WordPress e uma REST API customizada.

O aplicativo contém mais de 68 bibliotecas compiladas no APK. Para contexto: apps de bancos que lidam com transações financeiras sensíveis tipicamente usam 30-40 bibliotecas. Um app de “notícias governamentais” com 68+ levanta perguntas sobre o que exatamente todas essas dependências estão fazendo.

O Padrão Se Repete: Apps Governamentais No Mundo Todo

Esse fenômeno não é exclusivo dos Estados Unidos. Em 2020, a Arábia Saudita usou seu app de rastreamento de COVID (Absher) para monitorar movimentos de mulheres. A Índia impôs o Aarogya Setu como obrigatório em milhões de dispositivos, com coleta de dados de saúde e localização sem base legal clara. O app de rastreamento de contato australiano COVIDSafe foi criticado por enviar dados a servidores da Amazon nos EUA.

A diferença é que quando governos autoritários fazem isso, a reação global é de condenação. Quando democracias ocidentais fazem, vem embalado em termos de serviço que ninguém lê e permissões que as pessoas aprovam sem pensar.

O que o caso do Fedware revela é um problema sistêmico: governos tratam o desenvolvimento de apps com a mesma seriedade que tratam a manutenção de seus sites de 2003. Não existe revisão de segurança adequada, não existe auditoria independente antes do lançamento, e não existe accountability quando dados são coletados indevidamente.

O app da Casa Branca foi construído por uma empresa terceirizada com o nome sutil de “forty-five-press”. Aparentemente ninguém na cadeia de aprovação achou necessário fazer um scan de dependências — algo que qualquer junior dev numa startup aprende a fazer na primeira semana.

O Que Fazer Com Essa Informação

Se você instalou o app da Casa Branca, algumas recomendações práticas:

1. Revogue as permissões — vá em Configurações → Apps → White House → Permissões e desative tudo que não for essencial
2. Desative a execução em background — impeça o app de rodar quando não estiver em uso
3. Considere desinstalar — se você quer acompanhar as notícias da Casa Branca, o site funciona perfeitamente no navegador
4. Use um navegador com bloqueador — o site da Casa Branca no Firefox com uBlock Origin vai te dar as mesmas informações sem o rastreamento

Para desenvolvedores, a lição é outra: auditem suas dependências. O OneSignal é usado por milhares de apps, e a maioria dos desenvolvedores provavelmente não sabe que está incluindo um pipeline de GPS pronto para ativação remota. Um simples npx expo install onesignal-expo-plugin pode estar adicionando muito mais do que notificações push ao seu app.

FBI Compra Dados de Localização — Legalmente

E pra fechar com chave de ouro a ironia: no dia 18 de março de 2026, o diretor do FBI Kash Patel testemunhou perante o Congresso confirmando que a agência compra ativamente dados de localização e informações pessoais de americanos através de data brokers comerciais.

O senador Ron Wyden e parlamentares de ambos os partidos introduziram o Government Surveillance Reform Act, exigindo mandados judiciais antes que agências federais possam comprar informações de cidadãos de data brokers.

Então o cenário completo é: o governo lança apps que coletam dados, o governo compra dados de brokers que coletam dados, e o governo quer banir apps estrangeiros que coletam dados. Faz sentido? Pra mim também não.

A pergunta que fica é: se o app oficial do presidente dos Estados Unidos tem spyware chinês embutido e ninguém revisou antes de publicar, o que mais está passando despercebido nos apps que você usa todos os dias?