导航：首页 > 新闻 >

反驳《动新闻》高风险报告　苹果质疑报告真确性

发表于：2024-04-26 作者：创始人

编辑最后更新 2024年04月26日，上星期《 PCM 》报道 HKCERT 与 CNCERT 每月发表的"香港地区 Google Play 商店应用程序保安风险报告"，在 4 月份报告中将热门新闻软件《苹果动新闻》评为高风险应用软件。苹

上星期《 PCM 》报道 HKCERT 与 CNCERT 每月发表的"香港地区 Google Play 商店应用程序保安风险报告"，在 4 月份报告中将热门新闻软件《苹果动新闻》评为高风险应用软件。苹果日报连日来刊登报道，引述该报资讯及通讯科技总监陈慧敏表示对报告的质疑。

苹果反驳仅一"国家队"程式检出含毒

陈慧敏表示报告引用的 VirusTotal 所整合的报告中，列明 57 间公司曾就《动新闻》 App 进行恶意软件检测（编辑部查证后实为在 63 款软件测试中 52 款完成测试，当中 1 款报告含有恶意程式），包括较著名的 Microsoft 、 Symantec 、 TrendMicro 、 ESET-NOD32 ，以至国内企业阿里巴巴及腾讯，均没有发现该软件含有病毒，只有一款 Antiy-AVL 指该软件含有一款名为" Trojan[Ransom]/Android.Congur "的恶意软件。

据 FortiGuard Labs 指， Android/Congur.AC!tr 是一款可以远端控制手机、侧录用户键盘输入、上下载恶意程式进行 DDoS 攻击的木马程式。

陈慧敏对报告中有关含有木马程式的质疑，指该公司已再次审视有关软件，指并没有发现有关恶意程式。至于通过连线访问网络等指控，就指报告单纯以程式码有呼叫相关函数来判断安全性，并无深入分析使用有关权限是否合理，对指控感到不解。

该报又在其后的报道中指指控该公司软件含有恶意软件的 Antiy-AVL 防毒软件为北京安天网络安全技术有限公司的出品，其客户包括多个国家单位。又指 2016 年得国家主席习近平巡视，并指该公司"也是国家队"，暗指今次报告带有政治动机。

苹果日报连日发文质疑报告中引述 Antiy-AVL 扫描恶意软件结果的真确性（来源：苹果日报网站）

本地 5 款 Android 热门新闻软件要求权限比较

在本刊刊出有关报道后，有不少读者亦质疑报道的可信性，当中有读者列出国产通信软件 Wechat Android 版要求的权限比《动新闻》 App 更严重。其他本地新闻软件亦有要求相似的权限。

读者 Mak Leung 在《PCM》专页中指即时通讯软件要求的权限，比《苹果动新闻》更多。

编辑部对 5 款本地 Android 热门新闻软件作比较，发现《苹果动新闻》所要求的权限算是偏多的一款，但要求最多权限的是《 on.cc 东网-东方日报》，而要求最少权限的是《头条日报》。《动》、《 on.cc 》和《头条》要求存取通讯录，《动》、《 on.cc 》和《 01 》要求精密地理位置权限，《 on.cc 》和《 01 》都要求取用相机拍影或拍片和查询有哪些 App 正在执行。另外，比较特别的是《 on.cc 》要求更改手机系统设定，和《明报》要求直接拨打电话。

编辑部统计 5 款热门本地 Android 新闻 App 所要求的权限（点击放大）

专门网站分析报告指错漏百出

另一个专门报道 Android 软件的网站 Android-APK 亦对报告指示质疑，网站详细分析了 CNCENT 的分析报告，指报告当中指的多个所谓"高风险行为"，实际不是那个功能。例如当中被指是取得手机电话号码的 StackTraceElement.getLineNumber() 方法，实际上是在侦错时用来查看程式的行号，与电话线路无关；而另一节被指通过连线访问网络的 HttpURLConnection.getResponseCode() 方法，则其实是用来取得 HTTP 标准的状态码（ Response Code ），即 200 、 404 等等我们上网时也常见到的代码，属于正常网络通信活动。

专门报道 Android 软件的网站 Android-APK 亦对报告指示质疑，指 CNCERT 的分析报告错漏百出。

CNCERT 报告中其中一个被指失实的地方是指 StackTraceElement.getLineNumber() 方法会取得用户手机号码⋯⋯

但根据 Google 的 Android 开发者文件指出，这个方法其实是用来取得程式的行号，与电话网络完全无关。

苹果日报其后向香港电脑保安事故协调中心查询，对方回应指有关报告自 2013 年 7 月经已展开，强调旨在提高公众使用流动应用程序的网络保安意识，一直基于披露事实原则，并表示不会对个别结果作出分析或评论。不过，身为生产力促局旗下机构，有关报告如果出现重大错误（错误解释程式内容），就明显有违披露"事实"的原则，有必要对报告内容作交代，否则只会同时损害该中心的专业性和公信力。