上星期《 PCM 》報道 HKCERT 與 CNCERT 每月發表的「香港地區 Google Play 商店應用程式保安風險報告」,在 4 月份報告中將熱門新聞軟件《蘋果動新聞》評為高風險應用軟件。蘋果日報連日來刊登報道,引述該報資訊及通訊科技總監陳慧敏表示對報告的質疑。
蘋果反駁僅一「國家隊」程式檢出含毒
陳慧敏表示報告引用的 VirusTotal 所整合的報告中,列明 57 間公司曾就《動新聞》 App 進行惡意軟體檢測(編輯部查證後實為在 63 款軟件測試中 52 款完成測試,當中 1 款報告含有惡意程式),包括較著名的 Microsoft 、 Symantec 、 TrendMicro 、 ESET-NOD32 ,以至國內企業阿里巴巴及騰訊,均沒有發現該軟件含有病毒,只有一款 Antiy-AVL 指該軟件含有一款名為「 Trojan[Ransom]/Android.Congur 」的惡意軟件。
陳慧敏對報告中有關含有木馬程式的質疑,指該公司已再次審視有關軟件,指並沒有發現有關惡意程式。至於通過連線訪問網絡等指控,就指報告單純以程式碼有呼叫相關函數來判斷安全性,並無深入分析使用有關權限是否合理,對指控感到不解。
該報又在其後的報道中指指控該公司軟件含有惡意軟件的 Antiy-AVL 防毒軟件為北京安天網絡安全技術有限公司的出品,其客戶包括多個國家單位。又指 2016 年得國家主席習近平巡視,並指該公司「也是國家隊」,暗指今次報告帶有政治動機。
本地 5 款 Android 熱門新聞軟件要求權限比較
在本刊刊出有關報道後,有不少讀者亦質疑報道的可信性,當中有讀者列出國產通信軟件 Wechat Android 版要求的權限比《動新聞》 App 更嚴重。其他本地新聞軟件亦有要求相似的權限。
編輯部對 5 款本地 Android 熱門新聞軟件作比較,發現《蘋果動新聞》所要求的權限算是偏多的一款,但要求最多權限的是《 on.cc 東網-東方日報》,而要求最少權限的是《頭條日報》。《動》、《 on.cc 》和《頭條》要求存取通訊錄,《動》、《 on.cc 》和《 01 》要求精密地理位置權限,《 on.cc 》和《 01 》都要求取用相機拍影或拍片和查詢有哪些 App 正在執行。另外,比較特別的是《 on.cc 》要求更改手機系統設定,和《明報》要求直接撥打電話。
專門網站分析報告指錯漏百出
另一個專門報道 Android 軟件的網站 Android-APK 亦對報告指示質疑,網站詳細分析了 CNCENT 的分析報告,指報告當中指的多個所謂「高風險行為」,實際不是那個功能。例如當中被指是取得手機電話號碼的 StackTraceElement.getLineNumber() 方法,實際上是在偵錯時用來查看程式的行號,與電話線路無關;而另一節被指通過連線訪問網絡的 HttpURLConnection.getResponseCode() 方法,則其實是用來取得 HTTP 標準的狀態碼( Response Code ),即 200 、 404 等等我們上網時也常見到的代碼,屬於正常網絡通信活動。
蘋果日報其後向香港電腦保安事故協調中心查詢,對方回應指有關報告自 2013 年 7 月經已展開,強調旨在提高公眾使用流動應用程式的網絡保安意識,一直基於披露事實原則,並表示不會對個別結果作出分析或評論。不過,身為生產力促局旗下機構,有關報告如果出現重大錯誤(錯誤解釋程式內容),就明顯有違披露「事實」的原則,有必要對報告內容作交代,否則只會同時損害該中心的專業性和公信力。
延伸閱讀
http://staging.pcmarket.com.hk/2019/05/03/hkcert-%e5%a0%b1%e5%91%8a%e5%b0%87-android-%e7%89%88%e8%98%8b%e6%9e%9c%e5%8b%95%e6%96%b0%e8%81%9e%e5%88%97%e7%82%ba%e9%ab%98%e9%a2%a8%e9%9a%aa/