更多

    反駁《動新聞》高風險報告 蘋果質疑報告真確性

    Mickey Chan
    Mickey Chan
    愛模擬飛行、希望終有一日回到單車上的宅,眼鏡娘控。座右銘: 1.膽固醇跟美味是成正比的; 2.所有人都可以騙,但絕對不能騙自己; 3.賣掉的貨才是錢,不賣的收藏品不值一文; 4.踩單車,是為了吃更多美食! 5.正義的話語,不一定出自正義之人的口;

    上星期《 PCM 》報道 HKCERT 與 CNCERT 每月發表的「香港地區 Google Play 商店應用程式保安風險報告」,在 4 月份報告中將熱門新聞軟件《蘋果動新聞》評為高風險應用軟件。蘋果日報連日來刊登報道,引述該報資訊及通訊科技總監陳慧敏表示對報告的質疑。

    蘋果反駁僅一「國家隊」程式檢出含毒

    陳慧敏表示報告引用的 VirusTotal 所整合的報告中,列明 57 間公司曾就《動新聞》 App 進行惡意軟體檢測(編輯部查證後實為在 63 款軟件測試中 52 款完成測試,當中 1 款報告含有惡意程式),包括較著名的 Microsoft 、 Symantec 、 TrendMicro 、 ESET-NOD32 ,以至國內企業阿里巴巴及騰訊,均沒有發現該軟件含有病毒,只有一款 Antiy-AVL 指該軟件含有一款名為「 Trojan[Ransom]/Android.Congur 」的惡意軟件。

    據 FortiGuard Labs 指, Android/Congur.AC!tr 是一款可以遠端控制手機、側錄用戶鍵盤輸入、上下載惡意程式進行 DDoS 攻擊的木馬程式。
    據 FortiGuard Labs 指, Android/Congur.AC!tr 是一款可以遠端控制手機、側錄用戶鍵盤輸入、上下載惡意程式進行 DDoS 攻擊的木馬程式。

    陳慧敏對報告中有關含有木馬程式的質疑,指該公司已再次審視有關軟件,指並沒有發現有關惡意程式。至於通過連線訪問網絡等指控,就指報告單純以程式碼有呼叫相關函數來判斷安全性,並無深入分析使用有關權限是否合理,對指控感到不解。

    該報又在其後的報道中指指控該公司軟件含有惡意軟件的 Antiy-AVL 防毒軟件為北京安天網絡安全技術有限公司的出品,其客戶包括多個國家單位。又指 2016 年得國家主席習近平巡視,並指該公司「也是國家隊」,暗指今次報告帶有政治動機。

    蘋果日報連日發文質疑報告中引述 Antiy-AVL 掃描惡意軟件結果的真確性(來源:蘋果日報網站)
    蘋果日報連日發文質疑報告中引述 Antiy-AVL 掃描惡意軟件結果的真確性(來源:蘋果日報網站)

    本地 5 款 Android 熱門新聞軟件要求權限比較

    在本刊刊出有關報道後,有不少讀者亦質疑報道的可信性,當中有讀者列出國產通信軟件 Wechat Android 版要求的權限比《動新聞》 App 更嚴重。其他本地新聞軟件亦有要求相似的權限。

    讀者 Mak Leung 在《PCM》專頁中指即時通訊軟件要求的權限,比《蘋果動新聞》更多。
    讀者 Mak Leung 在《PCM》專頁中指即時通訊軟件要求的權限,比《蘋果動新聞》更多。

    編輯部對 5 款本地 Android 熱門新聞軟件作比較,發現《蘋果動新聞》所要求的權限算是偏多的一款,但要求最多權限的是《 on.cc 東網-東方日報》,而要求最少權限的是《頭條日報》。《動》、《 on.cc 》和《頭條》要求存取通訊錄,《動》、《 on.cc 》和《 01 》要求精密地理位置權限,《 on.cc 》和《 01 》都要求取用相機拍影或拍片和查詢有哪些 App 正在執行。另外,比較特別的是《 on.cc 》要求更改手機系統設定,和《明報》要求直接撥打電話。

    編輯部統計 5 款熱門本地 Android 新聞 App 所要求的權限(點擊放大)
    編輯部統計 5 款熱門本地 Android 新聞 App 所要求的權限(點擊放大)

    專門網站分析報告指錯漏百出

    另一個專門報道 Android 軟件的網站 Android-APK 亦對報告指示質疑,網站詳細分析了 CNCENT 的分析報告,指報告當中指的多個所謂「高風險行為」,實際不是那個功能。例如當中被指是取得手機電話號碼的 StackTraceElement.getLineNumber() 方法,實際上是在偵錯時用來查看程式的行號,與電話線路無關;而另一節被指通過連線訪問網絡的 HttpURLConnection.getResponseCode() 方法,則其實是用來取得 HTTP 標準的狀態碼( Response Code ),即 200 、 404 等等我們上網時也常見到的代碼,屬於正常網絡通信活動。

    專門報道 Android 軟件的網站 Android-APK 亦對報告指示質疑,指 CNCERT 的分析報告錯漏百出。
    專門報道 Android 軟件的網站 Android-APK 亦對報告指示質疑,指 CNCERT 的分析報告錯漏百出。
    CNCERT 報告中其中一個被指失實的地方是指 StackTraceElement.getLineNumber() 方法會取得用戶手機號碼⋯⋯
    CNCERT 報告中其中一個被指失實的地方是指 StackTraceElement.getLineNumber() 方法會取得用戶手機號碼⋯⋯
    但根據 Google 的 Android 開發者文件指出,這個方法其實是用來取得程式的行號,與電話網絡完全無關。
    但根據 Google 的 Android 開發者文件指出,這個方法其實是用來取得程式的行號,與電話網絡完全無關。

    蘋果日報其後向香港電腦保安事故協調中心查詢,對方回應指有關報告自 2013 年 7 月經已展開,強調旨在提高公眾使用流動應用程式的網絡保安意識,一直基於披露事實原則,並表示不會對個別結果作出分析或評論。不過,身為生產力促局旗下機構,有關報告如果出現重大錯誤(錯誤解釋程式內容),就明顯有違披露「事實」的原則,有必要對報告內容作交代,否則只會同時損害該中心的專業性和公信力。

    延伸閱讀

    https://www.pcmarket.com.hk/2019/05/03/hkcert-%e5%a0%b1%e5%91%8a%e5%b0%87-android-%e7%89%88%e8%98%8b%e6%9e%9c%e5%8b%95%e6%96%b0%e8%81%9e%e5%88%97%e7%82%ba%e9%ab%98%e9%a2%a8%e9%9a%aa/

    您會感興趣的內容

    相關文章