標題: HKCERT 報告將 Android 版蘋果動新聞列為高風險 [打印本頁]

---

作者: zex    時間: 2019-5-3 21:58     標題: HKCERT 報告將 Android 版蘋果動新聞列為高風險

本帖最後由 zex 於 2019-5-3 21:59 編輯

行得正企得正, 唔怕香港Apps高風險.
HKCERT 報告將 Android 版蘋果動新聞列為高風險

---

作者: sunyan12    時間: 2019-5-3 22:30

阿當/夏娃都食蘋果啦  !!

---

作者: 健昇    時間: 2019-5-3 22:42

本帖最後由 健昇 於 2019-5-3 22:47 編輯






所講的apps都無裝過。

virustotal 動新聞 app：
https://www.virustotal.com/#/fil ... a221ca2c460/details

virustotal 方向 app：
https://www.virustotal.com/#/fil ... 0b046b06781/details

兩隻都scan唔到有野
不過方向 app 要的 Permissions更加多喎

---

作者: chue    時間: 2019-5-3 22:47

夠薑就試埋人民日報

---

作者: toylet    時間: 2019-5-3 22:59

提示: 作者被禁止或刪除 內容自動屏蔽

---

作者: 健昇    時間: 2019-5-3 23:02


virustotal 人民日報 app ：
https://www.virustotal.com/#/file/b4b31565146ffb55bee98f84af654d0057c49dbf9146ab26dbd35a78ca4931f3/details


Permissions
android.permission.ACCESS_COARSE_LOCATION
android.permission.ACCESS_FINE_LOCATION
android.permission.CALL_PHONE
android.permission.CAMERA
android.permission.CHANGE_WIFI_STATE
android.permission.GET_TASKS
android.permission.INTERNET
android.permission.MANAGE_ACCOUNTS
android.permission.READ_CONTACTS
android.permission.READ_PHONE_STATE
android.permission.RECORD_AUDIO
android.permission.SYSTEM_ALERT_WINDOW
android.permission.USE_CREDENTIALS
android.permission.WRITE_EXTERNAL_STORAGE
android.permission.INTERACT_ACROSS_USERS_FULL
android.permission.MOUNT_UNMOUNT_FILESYSTEMS
android.permission.READ_LOGS
android.permission.SET_DEBUG_APP
android.permission.ACCESS_DOWNLOAD_MANAGER
android.permission.ACCESS_LOCATION_EXTRA_COMMANDS
android.permission.ACCESS_NETWORK_STATE
android.permission.ACCESS_WIFI_STATE
android.permission.CHANGE_NETWORK_STATE
android.permission.DOWNLOAD_WITHOUT_NOTIFICATION
android.permission.GET_ACCOUNTS
android.permission.KILL_BACKGROUND_PROCESSES
android.permission.MODIFY_AUDIO_SETTINGS
android.permission.MOUNT_UNMOUNT_FIFESYSTEMS
android.permission.READ_EXTERNAL_STORAGE
android.permission.RECEIVE_BOOT_COMPLETED
android.permission.RECEIVE_USER_PRESENT
android.permission.REQUEST_INSTALL_PACKAGES
android.permission.VIBRATE
android.permission.WAKE_LOCK
android.permission.WRITE_APN_SETTING
getui.permission.GetuiService.com.peopledailychina.activity

---

作者: toylet    時間: 2019-5-3 23:33     標題: [on.cc東網]蘋果動新聞列高風險程式恐洩密...安裝要三思

提示: 作者被禁止或刪除 內容自動屏蔽

---

作者: zetalai    時間: 2019-5-4 00:05

這個報告是 HKCERT 與中國國家互聯網應急中心（ CNCERT ）合作

---

作者: waishingme    時間: 2019-5-4 01:27

本帖最後由 waishingme 於 2019-5-4 01:36 編輯

報告來源 (網頁)
https://www.hkcert.org/my_url/zh/blog/19043001

附加其他APP嘅調查名單 (PDF)
https://www.hkcert.org/c/documen ... 9889&groupId=16

附加高度竊密嘅原始碼分析一份 (PDF)
https://www.hkcert.org/c/documen ... 116e&groupId=16

---

作者: headuck    時間: 2019-5-4 01:56

本帖最後由 headuck 於 2019-5-4 09:53 編輯

估唔到所謂檢測咁兒戲

全部被指「讀取手機號碼」的getLineNumber() 根本是在讀 stacktrace，應是用來報告程式crash錯誤。而真正讀取手機號碼那個 call 是 TelephonyManager 之下的getLine1Number()，不但class 唔用而且method 名有個1字，而且今日大部份手機都唔能夠用這個call取得手機號碼。

出晒HKCERT同國家互聯網應急中心牌頭竟然犯咁低級錯誤

「通過連線訪問網絡」都當係風險仲好笑，HTTPUrlConnection 只係普通連上網，應該絕少App唔使上網。

「傳送手機資料」那段，是用來將URL share到 facebook App!

同私隱最有關的是取 DeviceID 及 MacAddress，作為手機的unique ID，沒錯可以用來做tracking，但差不多所有廣告商及analytics分析都會用此類手法，DeviceID 及 MacAddress 較具侵擾性是因為重刷ROM都會認到同一部機，否則其他Advertising ID 一樣跟到用戶。

而蘋果動新聞被引用，取 DeviceID 及 MacAddress 的部份，似乎是另一家媒體公司 http://www.cyphymedia.com 的第三方軟件庫。

圖片附件: Captureb.PNG (2019-5-4 02:01, 102.63 KB) / 下載次數 233
https://h0.hkepc.com/forum/attachment.php?aid=2124161&k=3fba29fd13e294a70663a748826a16c4&t=1781958547&sid=9bmyzydh5u5



圖片附件: Capturec.PNG (2019-5-4 02:02, 146.86 KB) / 下載次數 174
https://h0.hkepc.com/forum/attachment.php?aid=2124163&k=d74200fe0f7ea584cdab32893206d5cb&t=1781958547&sid=9bmyzydh5u5



圖片附件: Capturef.PNG (2019-5-4 02:02, 149.2 KB) / 下載次數 223
https://h0.hkepc.com/forum/attachment.php?aid=2124164&k=4fb9fb6111bf77aa136b14edd37b8ef1&t=1781958547&sid=9bmyzydh5u5

---

作者: freefdhk    時間: 2019-5-4 05:33

個 hkcert 根本得淡笑，政治立場報告居多。
AliPay WeChat 直頭要求拎埋root權Tim la。

同埋認到件設備有冇注冊過迎新

---

作者: 044003    時間: 2019-5-4 08:41

樓主貼d唔貼d相當可疑

---

作者: 愚樂無窮    時間: 2019-5-4 16:53

有冇人試埋淘佬天喵v7先

---

作者: waishingme    時間: 2019-5-4 17:11

本帖最後由 waishingme 於 2019-5-4 18:37 編輯

HKCERT 嘅公信力去咗邊？
得1個由大陸公司出品嘅防毒軟件話個APP有可疑

HKCERT 成立咗咁耐，到今日竟然會唔識懷疑 "False Positive" 呢樣野？
HKCERT話Google Play將APP上架 ，係唔係想暗示Google把關不力？ 佢真係想Google出黎回應？

https://www.virustotal.com/#/fil ... 25ecdf13a/detection

Antiy-AVL
https://www.antiy.cn/
北京安天网络安全技术有限公司





圖片附件: Capture.PNG (2019-5-4 17:06, 63.67 KB) / 下載次數 78
https://h0.hkepc.com/forum/attachment.php?aid=2124256&k=b086eb437e598721e8827818e4efcd6d&t=1781958547&sid=9bmyzydh5u5

---

作者: EVANGELION    時間: 2019-5-4 20:25




    like，epc真係多勁人
不過要登記會員先睇到新聞我都係唔會裝

---

作者: toylet    時間: 2019-5-4 22:36     標題: [蘋果新聞]微軟等56公司認證《蘋果動新聞》屬安全...

提示: 作者被禁止或刪除 內容自動屏蔽

---

作者: laueye    時間: 2019-5-4 23:00

支持民煮就快d裝

---

作者: 孤兒仔    時間: 2019-5-4 23:19



佢反共並不代表民主 佢啲新聞有邊篇不是愚民？

---

作者: 愚樂無窮    時間: 2019-5-4 23:28





識睇一定睇因報

---

作者: headuck    時間: 2019-5-4 23:35

本帖最後由 headuck 於 2019-5-4 23:53 編輯


用返位於內地的 Sanddroid 沙盒檢測，已列在 HKCERT 最受歡迎的本地50隻免費App當中的淘寶lite 及 Alipay wallet

Taobao
http://sanddroid.xjtu.edu.cn/rep ... D5C1FF1E6D0AAF4755B
Alipay
http://sanddroid.xjtu.edu.cn/rep ... F276B606EF1B7FBF4EC
蘋果動新聞
http://sanddroid.xjtu.edu.cn/rep ... A8DD3FDA784BF173245
比較埋東X日報網 (雖然過百萬下載但不在HKCERT熱門App list)
http://sanddroid.xjtu.edu.cn/rep ... 608E6BA24B16E01F2FC

結果:

Risc Score (總體風險)
淘寶lite: 100; Alipay wallet: 100 蘋果: 88 東X: 80

使用(真)TelephonyManager.getLine1Number() 試圖獲取電話 (要 READ_PHONE_STATE Permission):
兩隻大陸App: 有，兩隻本地App: 無

使用TelephonyManager.getDeviceId() 取得 IMEI，可作用戶追蹤 (要 READ_PHONE_STATE Permission):
四隻都有

使用 TelephonyManager.getSimOperator / getNetworkOperator 取得 Sim Card 營運商及網絡商:(要 READ_PHONE_STATE Permission):
四隻都有

使用WifiManager.getConnectionInfo() (當中包括Mac Address，可作用戶追蹤) (要 ACCESS_WIFI_STATE Permission，注意單純經wifi上網無需此permission):
四隻都有

使用WifiManager.getScanResults() (獲取附近wifi access point，可作用戶追蹤) (要 ACCESS_WIFI_STATE Permission 及ACCESS_COARSE_LOCATION)
四隻都有
當中淘寶更有call getSimSerialNumber，其他App沒有

連接互聯網: 唔使check都知有

Virus Total(因scan時間不同可能有差異):  

alipay 2/61(即61隻anti-virus scan只有2隻positive而且是不同virus/torjan，正常應理解為false positive)
其他: 無

以上只為冰山一角，(有的如alipay會直接響shell 攞cpuinfo，HKCERT無提就唔講了)，只是說明，單就HKCERT報告所謂深度分析中有提及的「高風險行為」(其英文版用字直指為 malicious activities，頭盔都唔戴)作考慮，很多App因各種原因如用戶追蹤，都會「觸犯」，很難得出只有蘋果動新聞及其他少數App才須特別發出預警報告的結論。

有沒有其他沒有在所謂深度分析中沒有提及的原因及準則，不得而知，但作為一(兩?)家半官方機構，發表一些表面看似專業權威性並會嚴重影響品牌聲譽的報告，但背後這樣兒嬉，求其失實，欠缺透明，實在很有問題。

背景: HKCERT是生產力促進局轄下機構，100%由政府資助。

---

作者: sunyan12    時間: 2019-5-4 23:59

香港電台也是100%政府資助，

---

作者: 孤兒仔    時間: 2019-5-5 00:02




因報有名你叫 on.￭￭

---

作者: 愚樂無窮    時間: 2019-5-5 00:04



眼中釘同愛將分別

---

作者: freefdhk    時間: 2019-5-5 02:57




公證D 解畫吧 ,   
HKCERT 是香港政府的.  
CNCERT、 ALIPAY、 TAOBAO 係 大陸政府的.
香港政府是大陸政府的.

咁點會話自己老闆既子公司係吾安全 ?
就算 ALIPAY 要 REQUEST ROOT , 都係會話係安全.
因為佢係合法為中國檢視中國國民手機的檔案.

---

作者: laueye    時間: 2019-5-5 11:42


反而想知動新聞隻trojan係咪蘋果獨家

至於alipay,taobao罷明要用戶提供資料，都唔駛靠trojan

---

作者: headuck    時間: 2019-5-5 11:59



Congur 系列 ransomware 2016年尾出現，如果有事應該多家 anti-virus 同時會 scan 到，目前只有一家是撞signature居多

---

作者: eh    時間: 2019-5-5 13:01

https://www.android-apk.com/2019 ... %E5%AE%89%E9%A2%A8/
笑大人個口

---

作者: eh    時間: 2019-5-5 13:02




    師兄夠料坐創科局焗腸個位tim

---

作者: freefdhk    時間: 2019-5-5 14:02




    報告誤報可能有 2~3成用戶甚至 4~6成用戶 DEL APPS ,
然後幾年後出來說只是誤報 ,
是不是很熟識的某國慣用手法呢.


呵呵~~

---

作者: headuck    時間: 2019-5-5 15:20



哈哈我都整理咗類似一篇文，長文慎入

http://blog.headuck.com/?p=1080

焗腸基本要求除吹水叻還要見過Steve Jobs喎，唔係個個做得

---

作者: 狂人日記    時間: 2019-5-5 16:28




呢位師兄好堅

---

作者: headuck    時間: 2019-5-7 21:57

本帖最後由 headuck 於 2019-5-7 21:58 編輯


蘋果做嘢，發律師信
https://hk.news.appledaily.com/local/realtime/article/20190507/59574661

其實 HKCERT / CNCERT 此報告在時間上有多重巧合，

(1) CNCERT 一直知悉蘋果動新聞有（根據深度分析中的所謂）高風險行為至少一年，但剛巧選擇在四月，蘋果App改為訂閱，才發出警報
(2) 掃到蘋果App false positive 的「安天」的掃毒軟件，亦不早不遲，僅對該月初推出的5.0.0版，偵測到惡意程式，其他版本沒有問題，及
(3) CNCERT / HKCERT 聲稱是測試 5.0.1 版，但卻錯拿了唯一「安天」偵測有惡意程式的 5.0.0 版，而不是偵測不到問題的 5.0.1， 到 VirusTotal 測試。

希望 HKCERT 繼續奉陪到底，讓公眾知道更多。

以下為時間上巧合的詳細分析
http://blog.headuck.com/?p=1115