Board logo

標題: HKCERT 報告將 Android 版蘋果動新聞列為高風險 [打印本頁]

作者: zex    時間: 2019-5-3 21:58     標題: HKCERT 報告將 Android 版蘋果動新聞列為高風險

本帖最後由 zex 於 2019-5-3 21:59 編輯

行得正企得正, 唔怕香港Apps高風險.
HKCERT 報告將 Android 版蘋果動新聞列為高風險

作者: sunyan12    時間: 2019-5-3 22:30

阿當/夏娃都食蘋果啦  !!
作者: 健昇    時間: 2019-5-3 22:42

本帖最後由 健昇 於 2019-5-3 22:47 編輯


這個報告是 HKCERT 與中國國家互聯網應急中心( CNCERT )合作……分析結果由 CNCERT 提供。

…而且根據 VirtualTotal 的惡意程式偵測度報告,指 Antiy 的 AVL 防毒軟件掃描到程式裡含有一款惡意木馬程式「 Trojan[Ransom]/Android.Congur 」。



所講的apps都無裝過。

virustotal 動新聞 app:
https://www.virustotal.com/#/fil ... a221ca2c460/details

virustotal 方向 app:
https://www.virustotal.com/#/fil ... 0b046b06781/details

兩隻都scan唔到有野
不過方向 app 要的 Permissions更加多喎
作者: chue    時間: 2019-5-3 22:47

夠薑就試埋人民日報
作者: toylet    時間: 2019-5-3 22:59

本帖最後由 toylet 於 2019-5-3 23:13 編輯

如果 網頁 做得 簡單啲, 根本就 不需 特別 apps 去睇!
Especially 現在有 CSS, Javascripts!
至於 in-app 廣告和購買, 本來就不是好嘢!
可以用簡單的 login page 來數數!

BTW....

Google blocking sign-ins from embedded app browsers to counter man-in-the-middle attacks
https://9to5google.com/2019/04/18/google-block-man-in-the-middle/
作者: 健昇    時間: 2019-5-3 23:02

夠薑就試埋人民日報
chue 發表於 2019-5-3 22:47

virustotal 人民日報 app :
https://www.virustotal.com/#/file/b4b31565146ffb55bee98f84af654d0057c49dbf9146ab26dbd35a78ca4931f3/details


Permissions
android.permission.ACCESS_COARSE_LOCATION
android.permission.ACCESS_FINE_LOCATION
android.permission.CALL_PHONE
android.permission.CAMERA
android.permission.CHANGE_WIFI_STATE
android.permission.GET_TASKS
android.permission.INTERNET
android.permission.MANAGE_ACCOUNTS
android.permission.READ_CONTACTS
android.permission.READ_PHONE_STATE
android.permission.RECORD_AUDIO
android.permission.SYSTEM_ALERT_WINDOW
android.permission.USE_CREDENTIALS
android.permission.WRITE_EXTERNAL_STORAGE
android.permission.INTERACT_ACROSS_USERS_FULL
android.permission.MOUNT_UNMOUNT_FILESYSTEMS
android.permission.READ_LOGS
android.permission.SET_DEBUG_APP
android.permission.ACCESS_DOWNLOAD_MANAGER
android.permission.ACCESS_LOCATION_EXTRA_COMMANDS
android.permission.ACCESS_NETWORK_STATE
android.permission.ACCESS_WIFI_STATE
android.permission.CHANGE_NETWORK_STATE
android.permission.DOWNLOAD_WITHOUT_NOTIFICATION
android.permission.GET_ACCOUNTS
android.permission.KILL_BACKGROUND_PROCESSES
android.permission.MODIFY_AUDIO_SETTINGS
android.permission.MOUNT_UNMOUNT_FIFESYSTEMS
android.permission.READ_EXTERNAL_STORAGE
android.permission.RECEIVE_BOOT_COMPLETED
android.permission.RECEIVE_USER_PRESENT
android.permission.REQUEST_INSTALL_PACKAGES
android.permission.VIBRATE
android.permission.WAKE_LOCK
android.permission.WRITE_APN_SETTING
getui.permission.GetuiService.com.peopledailychina.activity
作者: toylet    時間: 2019-5-3 23:33     標題: [on.cc東網]蘋果動新聞列高風險程式恐洩密...安裝要三思

[on.cc東網]蘋果動新聞列高風險程式恐洩密 專家籲安裝要三思
全文見: https://hk.on.cc/hk/bkn/cnt/news ... 0503_00822_001.html

蘋果動新聞「有毒」被列高風險應用程式!根據香港電腦保安事故協調中心及國家互聯網應急中心發表最新的「Google Play商店應用程式風險報告」,200個被檢測的應用程中,包括蘋果動新聞在內有4個程式檢驗出含「惡意程式」,市民如下載及繼續使用相關程式,其個人資料包括電話號碼、瀏覽互聯網紀錄及獲取網絡資料有可能被外洩。有網絡保安專家明言,市民如重視其個人資料,應三思是否繼續使用相關程式,並要承擔個人資料會被外洩的風險。

為提高流動應用程式開發商和市民的網絡保安意識,兩個中心自2013年7月起,每月從Google Play下載200款流動應用程式進行惡意及可疑行為檢測,並將結果整理向公眾發布。根據最新的報告 .... more ....
作者: zetalai    時間: 2019-5-4 00:05

這個報告是 HKCERT 與中國國家互聯網應急中心( CNCERT )合作

国家互联网应急中心 [1]  (英文:National Internet Emergency Center,缩写CNCERT或CNCERT/CC)全称是国家计算机网络应急技术处理协调中心 ,其成立于2002年9月 [2]  ,是中央网络安全和信息化委员会办公室领导下的国家级网络安全应急机构。

作者: waishingme    時間: 2019-5-4 01:27

本帖最後由 waishingme 於 2019-5-4 01:36 編輯

報告來源 (網頁)
https://www.hkcert.org/my_url/zh/blog/19043001

附加其他APP嘅調查名單 (PDF)
https://www.hkcert.org/c/documen ... 9889&groupId=16

附加高度竊密嘅原始碼分析一份 (PDF)
https://www.hkcert.org/c/documen ... 116e&groupId=16
作者: headuck    時間: 2019-5-4 01:56

本帖最後由 headuck 於 2019-5-4 09:53 編輯

估唔到所謂檢測咁兒戲
Captureb.PNG
2019-5-4 02:01

全部被指「讀取手機號碼」的getLineNumber() 根本是在讀 stacktrace,應是用來報告程式crash錯誤。而真正讀取手機號碼那個 call 是 TelephonyManager 之下的getLine1Number(),不但class 唔用而且method 名有個1字,而且今日大部份手機都唔能夠用這個call取得手機號碼。

出晒HKCERT同國家互聯網應急中心牌頭竟然犯咁低級錯誤
Capturec.PNG
2019-5-4 02:02

「通過連線訪問網絡」都當係風險仲好笑,HTTPUrlConnection 只係普通連上網,應該絕少App唔使上網。
Capturef.PNG
2019-5-4 02:02

「傳送手機資料」那段,是用來將URL share到 facebook App!

同私隱最有關的是取 DeviceID 及 MacAddress,作為手機的unique ID,沒錯可以用來做tracking,但差不多所有廣告商及analytics分析都會用此類手法,DeviceID 及 MacAddress 較具侵擾性是因為重刷ROM都會認到同一部機,否則其他Advertising ID 一樣跟到用戶。

而蘋果動新聞被引用,取 DeviceID 及 MacAddress 的部份,似乎是另一家媒體公司 http://www.cyphymedia.com 的第三方軟件庫。

圖片附件: Captureb.PNG (2019-5-4 02:01, 102.63 KB) / 下載次數 0
https://www.hkepc.com/forum/attachment.php?aid=2124161&k=389374a2af4125394bfef4692e45cf28&t=1561623793&sid=27g39Kha5j



圖片附件: Capturec.PNG (2019-5-4 02:02, 146.86 KB) / 下載次數 0
https://www.hkepc.com/forum/attachment.php?aid=2124163&k=eb6005057b2baf132c505fe79d605058&t=1561623793&sid=27g39Kha5j



圖片附件: Capturef.PNG (2019-5-4 02:02, 149.2 KB) / 下載次數 0
https://www.hkepc.com/forum/attachment.php?aid=2124164&k=d408428a601a4deacd179bf097e1ca1a&t=1561623793&sid=27g39Kha5j


作者: freefdhk    時間: 2019-5-4 05:33

個 hkcert 根本得淡笑,政治立場報告居多。
AliPay WeChat 直頭要求拎埋root權Tim la。

同埋認到件設備有冇注冊過迎新
作者: 044003    時間: 2019-5-4 08:41

樓主貼d唔貼d相當可疑
作者: 愚樂無窮    時間: 2019-5-4 16:53

有冇人試埋淘佬天喵v7先
作者: waishingme    時間: 2019-5-4 17:11

本帖最後由 waishingme 於 2019-5-4 18:37 編輯

HKCERT 嘅公信力去咗邊?
得1個由大陸公司出品嘅防毒軟件話個APP有可疑

HKCERT 成立咗咁耐,到今日竟然會唔識懷疑 "False Positive" 呢樣野?
HKCERT話Google Play將APP上架 ,係唔係想暗示Google把關不力? 佢真係想Google出黎回應?

https://www.virustotal.com/#/fil ... 25ecdf13a/detection

Antiy-AVL
https://www.antiy.cn/
北京安天网络安全技术有限公司

Capture.PNG
2019-5-4 17:06


安天是中国应急响应体系中重要的企业节点,在“红色代码”、“口令蠕虫”、“心脏出血”、“破壳”、“魔窟”等重大安全威胁和病毒疫情方面,实现了先发预警和全面应急响应。安天针对“方程式”、“白象”、“海莲花”、“绿斑”等几十个高级网空威胁行为体及其攻击行动,进行持续监测和深度解析,协助客户在“敌情想定”下形成有效防护,通过深度分析高级网空威胁行为体的作业能力,安天建立了以实战化对抗场景为导向的能力体系。


圖片附件: Capture.PNG (2019-5-4 17:06, 63.67 KB) / 下載次數 1
https://www.hkepc.com/forum/attachment.php?aid=2124256&k=cc81fdb377edad32d2c0c5838bcd4faa&t=1561623793&sid=27g39Kha5j


作者: EVANGELION    時間: 2019-5-4 20:25

估唔到所謂檢測咁兒戲

全部被指「讀取手機號碼」的getLineNumber() 根本是在讀 stacktrace,應是用來報告 ...
headuck 發表於 2019-5-4 01:56



    like,epc真係多勁人
不過要登記會員先睇到新聞我都係唔會裝
作者: toylet    時間: 2019-5-4 22:36     標題: [蘋果新聞]微軟等56公司認證《蘋果動新聞》屬安全...

[蘋果新聞]微軟等56公司認證《蘋果動新聞》屬安全應用程式 資訊科技總監反駁生促局報告
全文見: https://hk.news.appledaily.com/l ... e/20190504/59563192

生產力促進局轄下香港電腦保安事故協調中心(HKCERT),與國家互聯網應急中心(CNCERT)近日合作發表報告,指《蘋果動新聞》應用程式(動新聞App)內含木馬程式,並將其列為高風險。《蘋果》資訊及通訊科技總監陳慧敏回應指,報告羅列了57間公司偵測掃描動新聞App的結果,當中不乏著名防毒軟件及電腦公司,例如微軟及卡巴斯基等,但唯獨一間有中資背景的「北京安天網絡安全技術有限公司」,就聲稱動新聞App內含木馬程式,而其餘公司全部沒有發現蘋果動新聞App有異様。陳慧敏認為其他公司按照國際標準檢驗並無發現問題,質疑「安天個標準有咩唔同?」

陳慧敏指,有關報告是引述由「VirusTotal」所整合的報告 ..... more ....
作者: laueye    時間: 2019-5-4 23:00

支持民煮就快d裝
作者: 孤兒仔    時間: 2019-5-4 23:19

支持民煮就快d裝
laueye 發表於 4/5/2019 11:00 PM


佢反共並不代表民主 佢啲新聞有邊篇不是愚民?
作者: 愚樂無窮    時間: 2019-5-4 23:28

佢反共並不代表民主 佢啲新聞有邊篇不是愚民?
孤兒仔 發表於 2019-5-4 23:19




識睇一定睇因報
作者: headuck    時間: 2019-5-4 23:35

本帖最後由 headuck 於 2019-5-4 23:53 編輯
有冇人試埋淘佬天喵v7先
愚樂無窮 發表於 2019-5-4 16:53


用返位於內地的 Sanddroid 沙盒檢測,已列在 HKCERT 最受歡迎的本地50隻免費App當中的淘寶lite 及 Alipay wallet

Taobao
http://sanddroid.xjtu.edu.cn/rep ... D5C1FF1E6D0AAF4755B
Alipay
http://sanddroid.xjtu.edu.cn/rep ... F276B606EF1B7FBF4EC
蘋果動新聞
http://sanddroid.xjtu.edu.cn/rep ... A8DD3FDA784BF173245
比較埋東X日報網 (雖然過百萬下載但不在HKCERT熱門App list)
http://sanddroid.xjtu.edu.cn/rep ... 608E6BA24B16E01F2FC

結果:

Risc Score (總體風險)
淘寶lite: 100; Alipay wallet: 100 蘋果: 88 東X: 80

使用(真)TelephonyManager.getLine1Number() 試圖獲取電話 (要 READ_PHONE_STATE Permission):
兩隻大陸App: 有,兩隻本地App: 無

使用TelephonyManager.getDeviceId() 取得 IMEI,可作用戶追蹤 (要 READ_PHONE_STATE Permission):
四隻都有

使用 TelephonyManager.getSimOperator / getNetworkOperator 取得 Sim Card 營運商及網絡商:(要 READ_PHONE_STATE Permission):
四隻都有

使用WifiManager.getConnectionInfo() (當中包括Mac Address,可作用戶追蹤) (要 ACCESS_WIFI_STATE Permission,注意單純經wifi上網無需此permission):
四隻都有

使用WifiManager.getScanResults() (獲取附近wifi access point,可作用戶追蹤) (要 ACCESS_WIFI_STATE Permission 及ACCESS_COARSE_LOCATION)
四隻都有
當中淘寶更有call getSimSerialNumber,其他App沒有

連接互聯網: 唔使check都知有

Virus Total(因scan時間不同可能有差異):  

alipay 2/61(即61隻anti-virus scan只有2隻positive而且是不同virus/torjan,正常應理解為false positive)
其他: 無

以上只為冰山一角,(有的如alipay會直接響shell 攞cpuinfo,HKCERT無提就唔講了),只是說明,單就HKCERT報告所謂深度分析中有提及的「高風險行為」(其英文版用字直指為 malicious activities,頭盔都唔戴)作考慮,很多App因各種原因如用戶追蹤,都會「觸犯」,很難得出只有蘋果動新聞及其他少數App才須特別發出預警報告的結論。

有沒有其他沒有在所謂深度分析中沒有提及的原因及準則,不得而知,但作為一(兩?)家半官方機構,發表一些表面看似專業權威性並會嚴重影響品牌聲譽的報告,但背後這樣兒嬉,求其失實,欠缺透明,實在很有問題。

背景: HKCERT是生產力促進局轄下機構,100%由政府資助。
作者: sunyan12    時間: 2019-5-4 23:59

香港電台也是100%政府資助,
作者: 孤兒仔    時間: 2019-5-5 00:02

識睇一定睇因報
愚樂無窮 發表於 4/5/2019 11:28 PM



因報有名你叫 on.■■
作者: 愚樂無窮    時間: 2019-5-5 00:04

香港電台也是100%政府資助,
sunyan12 發表於 2019-5-4 23:59


眼中釘同愛將分別
作者: freefdhk    時間: 2019-5-5 02:57

用返位於內地的 Sanddroid 沙盒檢測,已列在 HKCERT 最受歡迎的本地50隻免費App當中的淘寶lite 及 Alipay ...
headuck 發表於 2019-5-4 23:35



公證D 解畫吧 ,   
HKCERT 是香港政府的.  
CNCERT、 ALIPAY、 TAOBAO 係 大陸政府的.
香港政府是大陸政府的.

咁點會話自己老闆既子公司係吾安全 ?
就算 ALIPAY 要 REQUEST ROOT , 都係會話係安全.
因為佢係合法為中國檢視中國國民手機的檔案.
作者: laueye    時間: 2019-5-5 11:42

公證D 解畫吧 ,   
HKCERT 是香港政府的.  
CNCERT、 ALIPAY、 TAOBAO 係 大陸政府的.
香港政府是大陸 ...
freefdhk 發表於 2019-5-5 02:57

反而想知動新聞隻trojan係咪蘋果獨家

至於alipay,taobao罷明要用戶提供資料,都唔駛靠trojan
作者: headuck    時間: 2019-5-5 11:59

反而想知動新聞隻trojan係咪蘋果獨家

至於alipay,taobao罷明要用戶提供資料,都唔駛靠trojan ...
laueye 發表於 2019-5-5 11:42


Congur 系列 ransomware 2016年尾出現,如果有事應該多家 anti-virus 同時會 scan 到,目前只有一家是撞signature居多
作者: eh    時間: 2019-5-5 13:01

https://www.android-apk.com/2019 ... %E5%AE%89%E9%A2%A8/
笑大人個口
作者: eh    時間: 2019-5-5 13:02

估唔到所謂檢測咁兒戲

全部被指「讀取手機號碼」的getLineNumber() 根本是在讀 stacktrace,應是用來報告 ...
headuck 發表於 2019-5-4 01:56



    師兄夠料坐創科局焗腸個位tim
作者: freefdhk    時間: 2019-5-5 14:02

笑大人個口
eh 發表於 2019-5-5 13:01



    報告誤報可能有 2~3成用戶甚至 4~6成用戶 DEL APPS ,
然後幾年後出來說只是誤報 ,
是不是很熟識的某國慣用手法呢.


呵呵~~
作者: headuck    時間: 2019-5-5 15:20

師兄夠料坐創科局焗腸個位tim
eh 發表於 2019-5-5 13:02


哈哈我都整理咗類似一篇文,長文慎入

http://blog.headuck.com/?p=1080

焗腸基本要求除吹水叻還要見過Steve Jobs喎,唔係個個做得
作者: 狂人日記    時間: 2019-5-5 16:28

哈哈我都整理咗類似一篇文,長文慎入



焗腸基本要求除吹水叻還要見過Steve Jobs喎,唔係個個做得 ...
headuck 發表於 2019-5-5 15:20



呢位師兄好堅
作者: headuck    時間: 2019-5-7 21:57

本帖最後由 headuck 於 2019-5-7 21:58 編輯
報告誤報可能有 2~3成用戶甚至 4~6成用戶 DEL APPS ,
然後幾年後出來說只是誤報 ,
是不是很熟識的 ...
freefdhk 發表於 2019-5-5 14:02


蘋果做嘢,發律師信
https://hk.news.appledaily.com/local/realtime/article/20190507/59574661

其實 HKCERT / CNCERT 此報告在時間上有多重巧合,

(1) CNCERT 一直知悉蘋果動新聞有(根據深度分析中的所謂)高風險行為至少一年,但剛巧選擇在四月,蘋果App改為訂閱,才發出警報
(2) 掃到蘋果App false positive 的「安天」的掃毒軟件,亦不早不遲,僅對該月初推出的5.0.0版,偵測到惡意程式,其他版本沒有問題,及
(3) CNCERT / HKCERT 聲稱是測試 5.0.1 版,但卻錯拿了唯一「安天」偵測有惡意程式的 5.0.0 版,而不是偵測不到問題的 5.0.1, 到 VirusTotal 測試。

希望 HKCERT 繼續奉陪到底,讓公眾知道更多。

以下為時間上巧合的詳細分析
http://blog.headuck.com/?p=1115





歡迎光臨 電腦領域 HKEPC Hardware (https://www.hkepc.com/forum/) Powered by Discuz! 7.2