Chính quyền Trump đang lên kế hoạch cài đặt bắt buộc ứng dụng chính thức của Nhà Trắng lên toàn bộ điện thoại công vụ của nhân viên liên bang Mỹ — theo thông tin từ tờ Government Executive (Gov Exec) dựa trên email nội bộ bị rò rỉ. Điều đáng lo ngại hơn là các nhà nghiên cứu bảo mật đã phân tích mã nguồn ứng dụng này và phát hiện nhiều vấn đề nghiêm trọng, trong đó có khả năng bật GPS từ xa mà không cần cập nhật ứng dụng.
Kế hoạch triển khai: Toàn bộ điện thoại công vụ liên bang
Theo email nội bộ mà Gov Exec thu thập được, ít nhất một cơ quan liên bang đã chuẩn bị triển khai ứng dụng Nhà Trắng ngay trong tuần tới. Phạm vi áp dụng được mô tả là "toàn bộ điện thoại di động do chính phủ cấp trong nhánh hành pháp" (all government-furnished mobile phones in the executive branch).
Cục Hàng không Liên bang (FAA) là một trong những cơ quan đầu tiên thông báo cho nhân viên — vào ngày 22/5 — rằng bộ phận IT sẽ tự động cài ứng dụng này lên toàn bộ iPhone và iPad do FAA cấp. Đáng chú ý, chính CIO Liên bang Greg Barbaccia đã chỉ đạo các lãnh đạo kỹ thuật tại các bộ ngành tiến hành cài đặt hàng loạt.
Người phát ngôn Nhà Trắng Olivia Wales giải thích với Gov Exec rằng "các thiết bị của chính phủ thường đi kèm các ứng dụng được cài sẵn nhằm hỗ trợ công việc hàng ngày của nhân viên." Tuy nhiên, câu trả lời này không đề cập đến các lo ngại bảo mật cụ thể đã được nêu ra.
Ứng dụng có gì — và vấn đề nằm ở đâu
Ứng dụng Nhà Trắng ra mắt vào tháng 3/2026, được giới thiệu là kênh cung cấp "thông tin trực tiếp, không qua bộ lọc" từ chính quyền. Các tính năng chính bao gồm thông cáo báo chí, tin tức do chính quyền chọn lọc, và một nút có tên "Text President Trump" — thực chất dẫn người dùng vào luồng đăng ký nhận tin nhắn marketing.
Điều Gov Exec chỉ ra là phiên bản cài lên máy công vụ hoàn toàn giống bản dành cho người dùng thông thường — không có tính năng bổ sung nào dành riêng cho nhân viên liên bang. Điều này đồng nghĩa với việc một nút marketing chính trị như "Text President Trump" sẽ xuất hiện trực tiếp trên thiết bị công vụ của hàng chục nghìn công chức.
Phân tích mã nguồn: 77% dữ liệu đi đâu?
Trước khi kế hoạch triển khai hàng loạt được công bố, các nhà nghiên cứu bảo mật đã tiến hành phân tích kỹ thuật ứng dụng này và công bố kết quả đáng lo ngại:
| Hạng mục phân tích | Kết quả |
|---|---|
| Tỷ lệ lưu lượng đến whitehouse.gov | Chỉ 23% |
| Lưu lượng gửi bên thứ ba | 77% — bao gồm địa chỉ IP, múi giờ, model thiết bị, phiên bản OS, số lần mở ứng dụng |
| Nhà cung cấp nhận dữ liệu | OneSignal (dịch vụ push notification) |
| Kiểm soát GPS | Server của OneSignal có thể bật tính năng theo dõi GPS từ xa mà không cần cập nhật ứng dụng |
| Bảo vệ kết nối | Không có certificate pinning — API có thể bị chặn bắt trên Wi-Fi công cộng |
Ngoài ra, ứng dụng tích hợp 6 widget từ Elfsight — một công ty có trụ sở tại Nga — và đã có trường hợp thông tin cá nhân của một số nhân viên Nhà Trắng bị lộ qua kênh này. Sau khi ra mắt, một bản cập nhật đã xóa quyền truy cập vị trí ở trạng thái không hoạt động, nhưng cơ chế bật GPS từ xa qua OneSignal vẫn còn nguyên.
Phản ứng từ giới chuyên gia và xung đột với luật Hatch Act
Nhiều cựu quan chức IT liên bang đã lên tiếng phản đối mạnh mẽ:
- David Nesting, cựu Phó CIO của Văn phòng Quản lý Nhân sự (OPM), gọi đây là hành động "ép toàn bộ nhân viên liên bang xem cùng một nội dung tuyên truyền."
- Sonny Hashmi, cựu lãnh đạo IT chính phủ, cảnh báo rằng "ứng dụng được cài trên thiết bị công vụ có thể tạo ra backdoor vào mạng lưới chính phủ."
Một vấn đề pháp lý cũng được đặt ra: Đạo luật Hatch Act năm 1939 yêu cầu công chức liên bang phải giữ thái độ trung lập về chính trị. Việc cài đặt bắt buộc một ứng dụng mang nội dung chính trị rõ ràng — kể cả nút đăng ký nhận tin từ chiến dịch của Tổng thống — lên thiết bị công vụ đang bị nhiều chuyên gia đặt câu hỏi về tính hợp pháp.
Góc nhìn từ bên ngoài nước Mỹ
Với người dùng và các tổ chức tại Việt Nam, vụ việc này không có tác động trực tiếp. Tuy nhiên, đây là bài học điển hình về rủi ro khi triển khai ứng dụng hàng loạt lên thiết bị công vụ mà không có kiểm toán bảo mật độc lập — đặc biệt khi ứng dụng gửi phần lớn dữ liệu đến bên thứ ba và cho phép kiểm soát từ xa các tính năng nhạy cảm như GPS.
Câu chuyện này cũng nhắc nhở rằng ngay cả ứng dụng từ nguồn chính phủ cũng cần được đánh giá kỹ về quyền riêng tư trước khi triển khai diện rộng — một nguyên tắc quan trọng cho bất kỳ tổ chức nào quản lý thiết bị di động theo mô hình MDM (Mobile Device Management).
Hiện tại, thông tin về kế hoạch triển khai vẫn dựa trên tài liệu nội bộ chưa được xác nhận chính thức. Diễn biến tiếp theo từ các cơ quan liên bang và phản ứng của Quốc hội Mỹ sẽ là yếu tố quyết định mức độ nghiêm trọng của vụ việc.
Nguồn
- Engadget — The White House is reportedly forcing its official app onto all government employee phones
- Government Executive — The White House is ordering agencies to place its new app on all employees' government phones
- IBTimes UK — 'Greatest President Ever' Text: Trump Forces Unsafe App on FED Agencies, Raising Cyber Concerns
