本帖最後由 headuck 於 2019-5-4 09:53 編輯

估唔到所謂檢測咁兒戲
Captureb.PNG
2019-5-4 02:01

全部被指「讀取手機號碼」的getLineNumber() 根本是在讀 stacktrace,應是用來報告程式crash錯誤。而真正讀取手機號碼那個 call 是 TelephonyManager 之下的getLine1Number(),不但class 唔用而且method 名有個1字,而且今日大部份手機都唔能夠用這個call取得手機號碼。

出晒HKCERT同國家互聯網應急中心牌頭竟然犯咁低級錯誤
Capturec.PNG
2019-5-4 02:02

「通過連線訪問網絡」都當係風險仲好笑,HTTPUrlConnection 只係普通連上網,應該絕少App唔使上網。
Capturef.PNG
2019-5-4 02:02

「傳送手機資料」那段,是用來將URL share到 facebook App!

同私隱最有關的是取 DeviceID 及 MacAddress,作為手機的unique ID,沒錯可以用來做tracking,但差不多所有廣告商及analytics分析都會用此類手法,DeviceID 及 MacAddress 較具侵擾性是因為重刷ROM都會認到同一部機,否則其他Advertising ID 一樣跟到用戶。

而蘋果動新聞被引用,取 DeviceID 及 MacAddress 的部份,似乎是另一家媒體公司 http://www.cyphymedia.com 的第三方軟件庫。

TOP

本帖最後由 headuck 於 2019-5-4 23:53 編輯
有冇人試埋淘佬天喵v7先
愚樂無窮 發表於 2019-5-4 16:53


用返位於內地的 Sanddroid 沙盒檢測,已列在 HKCERT 最受歡迎的本地50隻免費App當中的淘寶lite 及 Alipay wallet

Taobao
http://sanddroid.xjtu.edu.cn/rep ... D5C1FF1E6D0AAF4755B
Alipay
http://sanddroid.xjtu.edu.cn/rep ... F276B606EF1B7FBF4EC
蘋果動新聞
http://sanddroid.xjtu.edu.cn/rep ... A8DD3FDA784BF173245
比較埋東X日報網 (雖然過百萬下載但不在HKCERT熱門App list)
http://sanddroid.xjtu.edu.cn/rep ... 608E6BA24B16E01F2FC

結果:

Risc Score (總體風險)
淘寶lite: 100; Alipay wallet: 100 蘋果: 88 東X: 80

使用(真)TelephonyManager.getLine1Number() 試圖獲取電話 (要 READ_PHONE_STATE Permission):
兩隻大陸App: 有,兩隻本地App: 無

使用TelephonyManager.getDeviceId() 取得 IMEI,可作用戶追蹤 (要 READ_PHONE_STATE Permission):
四隻都有

使用 TelephonyManager.getSimOperator / getNetworkOperator 取得 Sim Card 營運商及網絡商:(要 READ_PHONE_STATE Permission):
四隻都有

使用WifiManager.getConnectionInfo() (當中包括Mac Address,可作用戶追蹤) (要 ACCESS_WIFI_STATE Permission,注意單純經wifi上網無需此permission):
四隻都有

使用WifiManager.getScanResults() (獲取附近wifi access point,可作用戶追蹤) (要 ACCESS_WIFI_STATE Permission 及ACCESS_COARSE_LOCATION)
四隻都有
當中淘寶更有call getSimSerialNumber,其他App沒有

連接互聯網: 唔使check都知有

Virus Total(因scan時間不同可能有差異):  

alipay 2/61(即61隻anti-virus scan只有2隻positive而且是不同virus/torjan,正常應理解為false positive)
其他: 無

以上只為冰山一角,(有的如alipay會直接響shell 攞cpuinfo,HKCERT無提就唔講了),只是說明,單就HKCERT報告所謂深度分析中有提及的「高風險行為」(其英文版用字直指為 malicious activities,頭盔都唔戴)作考慮,很多App因各種原因如用戶追蹤,都會「觸犯」,很難得出只有蘋果動新聞及其他少數App才須特別發出預警報告的結論。

有沒有其他沒有在所謂深度分析中沒有提及的原因及準則,不得而知,但作為一(兩?)家半官方機構,發表一些表面看似專業權威性並會嚴重影響品牌聲譽的報告,但背後這樣兒嬉,求其失實,欠缺透明,實在很有問題。

背景: HKCERT是生產力促進局轄下機構,100%由政府資助。

TOP

反而想知動新聞隻trojan係咪蘋果獨家

至於alipay,taobao罷明要用戶提供資料,都唔駛靠trojan ...
laueye 發表於 2019-5-5 11:42


Congur 系列 ransomware 2016年尾出現,如果有事應該多家 anti-virus 同時會 scan 到,目前只有一家是撞signature居多

TOP

師兄夠料坐創科局焗腸個位tim
eh 發表於 2019-5-5 13:02


哈哈我都整理咗類似一篇文,長文慎入

http://blog.headuck.com/?p=1080

焗腸基本要求除吹水叻還要見過Steve Jobs喎,唔係個個做得

TOP

本帖最後由 headuck 於 2019-5-7 21:58 編輯
報告誤報可能有 2~3成用戶甚至 4~6成用戶 DEL APPS ,
然後幾年後出來說只是誤報 ,
是不是很熟識的 ...
freefdhk 發表於 2019-5-5 14:02


蘋果做嘢,發律師信
https://hk.news.appledaily.com/local/realtime/article/20190507/59574661

其實 HKCERT / CNCERT 此報告在時間上有多重巧合,

(1) CNCERT 一直知悉蘋果動新聞有(根據深度分析中的所謂)高風險行為至少一年,但剛巧選擇在四月,蘋果App改為訂閱,才發出警報
(2) 掃到蘋果App false positive 的「安天」的掃毒軟件,亦不早不遲,僅對該月初推出的5.0.0版,偵測到惡意程式,其他版本沒有問題,及
(3) CNCERT / HKCERT 聲稱是測試 5.0.1 版,但卻錯拿了唯一「安天」偵測有惡意程式的 5.0.0 版,而不是偵測不到問題的 5.0.1, 到 VirusTotal 測試。

希望 HKCERT 繼續奉陪到底,讓公眾知道更多。

以下為時間上巧合的詳細分析
http://blog.headuck.com/?p=1115

TOP