HKCERT 列「蘋果動新聞」為高風險 (二) 之 三重巧合 ?

上文有一個角度未有考慮,就是香港電腦保安事故協調中心 (HKCERT) 把「蘋果動新聞」列為高風險的時間。

檢測當局早應知悉「蘋果動新聞」的所謂風險因素

HKCERT的「香港地區 Google Play 商店應用程式保安風險報告」是按月發表的,翻查 HKCERT 一年來的檢測名單,發覺「蘋果動新聞」一直都在檢測上,不過以往檢測的是不同的舊版本。見下表左方第1及第2欄。

HKCERT 報告檢測蘋果動新聞版本取IMEI取 Wifi Info (Mac Address)取SIM / Network OperatorScan WifiVirus Total
Link / 結果
Sandroid
Link / Risk score
Apr 195.0.10/5888
Mar 194.9.1
Feb 194.9.1
Jan 194.9.00/6088
Dec 184.8.0
Nov 184.7.0
Oct 184.7.0
Sep 184.7.00/6082
Aug 184.6.0
Jul 184.6.0
Jun 184.5.1
May 184.5.00/6382

於是,作者抽查一下在 Sandroid 沙盒對數個舊版本(4.5.0,4.7.0,4.9.0)的分析(詳細報告鏈結在上表最右欄),發覺上文所述,HKCERT 就今次5.0.1版認為是高風險的各項行為,在這些舊版本中同樣存在,見上表各項(當然連接上網這類基本功能亦一樣,從略)。

換句話說,HKCERT 在 2019年4月對「蘋果動新聞」發警報所聲稱考慮的技術因素,在此前的12個月,事實上一直存在。 HKCERT / CNCERT 每個月都有分析「蘋果動新聞」,所以亦應一直知悉情況。

既然如此,有什麼因素,令 CNCERT 及 HKCERT 不一早發出預警,而要選擇在2019年4月才發出對該App的預警?

巧合的是,眾所周知,蘋果剛巧就在2019年4月轉型為登記制,另一陣營隨即發表不利蘋果App的報導,希望阻嚇公眾登記,同月卻發生該網獨家報道某八卦新聞,而令登記人數大幅上升。

另外,HKCERT 的報告,一直順帶提供 VirusTotal 的掃瞄結果,在4月「蘋果動新聞」的預警中,附上的掃瞄結果鏈結,顯示其中一家國內的防毒商「安天」(Antiy),掃到蘋果App內有惡意程式。

但作者發覺,HKCERT 在4月報告聲稱所測試「蘋果動新聞」5.0.1版本,在VirusTotal 的給果,(和之前4.5.0,4.7.0,4.9.0版本一樣)是完全沒有發現問題的,當中包括「安天」。見上表鏈結。

2019年4月報告截圖

錯誤上載 App 版本

好奇之下,再細看 HKCERT 報告提供的VirusTotal 鏈結,究竟是什麼問題導致結果差異,發現另一個報告的事實謬誤,就是原來是拿了 5.0.0 版而非所稱的 5.0.1 版,上傳到 VirusTotal 測試 !

翻查 HKCERT 以往的報告,每月都在當月15日對各App取樣,而 4 月報告亦一如以往,註明取樣日期為 2019 年 4 月 15 日,所以各App 選擇所測試的版本應是按規則而非隨意。該日「蘋果動新聞」已推出5.0.1版本,但為什麼會拿了4月初推出的前一版到 VirusTotal 測試,但在報告內又沒有標註 ?

5.0.0 版及 5.0.1 版之差看來是細節,但魔鬼就在這裡,因為「安天」亦是不遲不早,僅對 5.0.0 版偵測出附有惡意程式,上表其他各版本,包括原應使用的 5.0.1 版,均沒有問題。

再看看報載 HKCERT 對報告工作流程的描述 :「中心[HKCERT]自2013年7月開始與CNCERT合作,每月從 Google Play 下載 200 款最熱門和最新的流動應用程式進行惡意及可疑行為檢測,整理 CNCERT 提供的分析結果後公佈,… ,中心 [HKCERT] 同時列出由國際惡意軟件分析機構 VirusTotal上不同的防惡意程式引擎所進行的偵測結果和資料,供流動應用程式用戶作額外參考,不會對個別結果作出分析或評論」

此段的理解,似乎是想強調,CNCERT的分析和 VirusTotal 的掃瞄,兩者是獨立進行的。 「風險報告」屬分析結果部份,由 CNCERT 提供,而 VirusTotal 的掃瞄則是根據 CNCERT 的分析結果,另行上載到 VirusTotal 進行,以便在分析結果內同時列出,供額外參考。

三重巧合 ?

若是如此,則須出現三重巧合,才會出現於蘋果動新聞剛轉型、被另一政治陣營攻擊的月份,HKCERT 發表該 App 附有惡意程式的結果:

  1. CNCERT 一直知悉蘋果動新聞有(根據深度分析中的所謂)高風險行為至少一年,但剛巧選擇在該月才發出警報,
  2. 「安天」的掃毒軟件,亦不早不遲,僅對該月初推出的5.0.0版,偵測到惡意程式,及
  3.  CNCERT / HKCERT 錯誤地在取樣日之前,預早下載了 5.0.0 版,而非報告所述取樣日期的5.0.1版,到 VirusTotal 測試。

沒有(1),「蘋果動新聞」不會在此時上榜,而(2)及(3)若非同時出現,報告雖會顯示該 App 有行為會引起私隱風險,但同時「證明」沒有惡意程式或「毒」,效果有相當分別。

無論如何,事到如今,對一大部份公眾而言,一則新聞平均只有8秒 attention span,「官方報告踢爆「蘋果」App有毒」入腦,「蘋果」的澄清只有蘋果讀者見到,preaching to the converted。總之,損害已經造成。

而 HKCERT,一被質疑即劃清界線,只是依足程序外判再搬字過紙,不分析不評論不負責,當然亦不上身。

不要再浪費公帑

這種以字眼檢索當作深度分析,不論App性質連上網都當風險的報告,對所有App來說都可謂欲加之罪何患無詞,而對什麼App發警告,何時發警告,全無透明準則,有極大任意性,加上分析全在內地,即使有明顯事實錯誤,受報告損害的App均追究無門。

而 VirusTotal 測試羅列多家廠商掃瞄結果,當中廠商可能良莠不齊,HKCERT 僅列出所謂偵測度,各廠商一人一票,不加解釋,根本無助公眾正確理解及評估惡意程式風險,反而很容易造成誤導。另一方面, HKCERT 挾半官方名義,令報告有一定權威性及新聞價值,但實質 HKCERT 對內容看來毫無承擔。HKCERT 穩收公帑,但其開支又缺乏如政府的監察程序及透明度。這種在多個層次均出現權責不對稱的機制,對引致這些報告質素低落,錯漏一大堆,不無關係,當然這次亦將無人問責,不了了之

若不作徹底改革,提高檢測的專業性及問責性,繼續讓 HKCERT 負責此類工作,除了浪費公帑,更誤導公眾,百害而無一利,亦難以排除有可能被人利用,作為影響市場以至作政治打擊工具的疑慮。

5月7日更新:蘋果已向 HKCERT 發律師信要求停止發表失實陳述及澄清[1],HKCERT當晚指遵從法律意見從其網頁移除報告,但沒有承認報告有問題。希望法律行動有助消除這種不負責任更誤導公眾的報告。

5月8日更新:報載 HKCERT 承認報告有誤,但只限於發出律師信的蘋果旗下的 App,聲明如下:

香港生產力促進局屬下‪香港電腦保安事故協調中心 (HKCERT) 每月發布《‪香港地區 Google Play 商店應用程式保安風險報告》。HKCERT 重視每項檢測的準確性,對所有檢測項目及機構持中立態度。HKCERT 收悉有關 2019 年 4 月份《‪香港地區 Google Play 商店應用程式保安風險報告》的查詢,即時對該報告結果進行詳細技術分析,發現就《蘋果動新聞》應用程式所作的分析結果存有差異,同時主動與有關檢測機構查詢,並獲其證實有誤。在徵詢專業意見後,已即時採取相應措施,並在網站上移除報告。HKCERT 重視公眾意見,對是次事件深感抱歉,我們承諾往後定會更審慎處理各項檢測、加強技術分析以及審視相關報告機制,謹此感謝各界對是次事件的關注。

(解讀: 唔係我錯,係我俾 CNCERT 跣咗,重係憑自己分析發現嘅。同埋講明,我而家係主動收返份報告,唔係俾你律師信嚇到。)

至於之前以相似的「有連接上網」「有 share facebook」等罪名,對其他 App 發出的警報呢?

邊隻 App 請得起律師「查詢」一下,咪「即時」幫你進行詳細技術分析同向「有關檢測機構」澄清,還你公道囉。

[1]蘋果新聞,2019年5月7日:生促局報告指控動新聞app屬高風險 《蘋果》發律師信直斥鹵莽失實

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *