3602018年上半年度安卓系统安全性生态环境研究网络安全201872526页

2018年上半年度安卓系统安全性生态环境研究2018年7月25日摘要此报告数据来源为“360透视镜”（360团队发布的一款专业检测手机安全漏洞的APP,）用户主动上传的90万份漏洞检测报告，检测内容包括最近三年的Android和Chrome安全公告中检出率较高的78个漏洞，涵盖了Android系统的各个层面。检测结果显示，截止至2018年7月，所测设备中99.97%的Android手机存在安全漏洞，有0.03%的设备完全没有检测出漏洞，安全程度同比下降6.03%。Android版本占比最高的3个版本分别为Android6.0、Android5.1和Android4.4，比例分别为38%、29%和14%，Android7.0和7.1版本所占比例分别为4%和10%，而最新版的Android8.0和8.1版本均接近1%。从结果上看，Android版本高低和漏洞数量多少并没有严格的线性关系，在高版本系统上（7.0及以上），漏洞数量明显减少，平均漏洞数虽有所提高，但对于历史漏洞的修复情况则较为明显。与上季度相比，用户整体的版本的更新和推进变化不大，Android6.0依旧是用户量最多，高版本系统7.0和7.1继续保持上升趋势，最新的8.0和8.1也有在缓慢提升；在平均漏洞数方面，由于新漏洞的出现，设备平均漏洞数均有所提升。检测的漏洞总案例在继续增加，且检出漏洞数也有一定的增加，这在一定程度上说明了安卓安全攻与防之间的较量是在动态变化的。用户手机的平均漏洞数量存在比较明显的地域特征，北京、广东、上海等地区的用户手机平均漏洞数量最少，吉林、黑龙江、甘肃等地区的用户手机漏洞数量相对较多。这一数据的顺序较上一季度略有变化，整体平均漏洞数基本持平。不同性别的用户平均系统版本较上一季度均有所提升，不同性别用户的平均手机版本基本持平，女性用户的手机平均漏洞数量比男性用户仍低一些。其中99.1%的设备存在浏览器内核相关漏洞，浏览器内核漏洞最多的设备同时存在6个漏洞（版本号50.0.2661.86），有超过半数的设备漏洞数超过3个，仅有0.9%的设备不受浏览器内核漏洞影响。与上一季度相比，浏览器安全情况面临的安全问题较为明显，通过我们的分析，这与新公开的浏览器内核漏洞有直接关联，未能及时升级浏览器内核导致新漏洞影响范围十分广泛。安卓手机用户中，约有42.0%的用户会保持手机系统（特指安全补丁等级）版本与厂商所提供的最新版本保持一致，约有15.2%的用户的手机系统版本会保持滞后厂商最新版本1到3个月，接近9.6%的用户会滞后4到6个月，其余用户会滞后半年以上。其中保持手机系统更新的用户相较上个季度无明显差异。与安卓官方最新更新情况相比，用户手机系统平均滞后了约12.8个月；但与手机厂商已经提供该机型的最新版本相比，则平均只滞后了5.6个月。这两项数据上看，安全补丁的更新环比均有所滞后，但整体差距不大。由此可见，用户手机因未能及时更新而存在安全漏洞的重要原因之一，就是手机厂商普遍未能实现其定制开发的安卓系统与Google官方同步更新，而且滞后性比较明显。关键词：安卓安全、安卓漏洞、漏洞检测目录研究背景...........................................................................................................................................1第一章手机系统安全性综述........................................................................................................1一、系统漏洞的危险等级........................................................................................................1二、系统漏洞的危害方式........................................................................................................1三、系统浏览器内核的安全性.................................................................................................3四、系统漏洞的数量分布........................................................................................................5五、手机安全生态宏观描述.....................................................................................................6第二章手机系统版本安全性........................................................................................................8一、各系统版本漏洞情况........................................................................................................8二、安卓系统漏洞缓解措施.....................................................................................................9第三章手机系统安全性地域分布...............................................................................................11第四章手机系统安全性与用户性别的相关性............................................................................13第五章手机系统安全漏洞的修复...............................................................................................15一、厂商漏洞修复情况..........................................................................................................15二、用户主动升级意愿..........................................................................................................16三、漏洞修复综合分析..........................................................................................................17第六章新品手机安全更新情况...................................................................................................19附录.................................................................................................................................................201研究背景在中国，Android系统作为智能手机中市场占有率最高的移动操作系统，承载着亿万手机用户的生产生活，大量的Android开发人员为其添砖加瓦。但树大招风，Android智能手机也暴露在各种恶意软件、系统漏洞的威胁之中，无数恶意软件、电信诈骗不断挑战用户的安全意识，但各种隐藏在系统之中的系统漏洞对用户的手机安全影响更为可怕。由于Android操作系统目前仍未有非常完善的补丁机制为其修补系统漏洞，再加上Android系统碎片化严重，各手机厂商若要为采用Android系统的各种设备修复安全问题则需投入大量人力物力。随着各种系统漏洞的不断披露，现存的Android智能手机就像一艘漏水的船，纵然手机安全软件能够缓解一些安全隐患，但系统中的漏洞仍未能有效修补，攻击大门依旧打开。而Android平台之上的安全软件又无法被授予系统的最高权限，因而Android系统安全问题一直非常棘手。为了让消费者了解到自己手机的安全性，360历时一年打造了中国第一个Android平台的手机漏洞检测工具“360透视镜”（），并向社会公开，任何用户和个人都可下载安装。“360透视镜”应用依据Android官方提供的安全补丁更新通知作为漏洞信息来源，在Android系统上实现了无需申请敏感权限即可检测Android系统中存在的漏洞这一核心功能，降低了用户了解自己手机安全状况的限制门槛。此报告基于“360透视镜”应用用户主动上传的90万份漏洞检测报告，检测内容包括近三年（最新漏洞检测更新至2018年6月）Android与Chrome安全公告中检出率较高的78个漏洞，涵盖了Android系统的各个层面，且都与具体设备的硬件无关。我们统计并研究了样本中的漏洞测试结果数据，并对安全状况予以客观具体的量化，希望引起用户和厂商对于手机系统漏洞的关注与重视，为Android智能手机用户的安全保驾护航，并希望以此来推进国内Android智能手机生态环境的安全、健康发展。1第一章手机系统安全性综述一、系统漏洞的危险等级此次报告评测的78个系统漏洞，按照Google官方对系统漏洞的危险评级标准，按照危险等级递减的排序规则，共分为严重、高危、中危三个级别。即“严重”级别的漏洞对系统的安全性影响最大，其次为“高危”级别漏洞，然后为“中危”级别漏洞，“低危”级别漏洞未入选。在这78个漏洞中，按照其危险等级分类，有严重级别漏洞12个，高危级别漏洞46个，中危级别漏洞20个。其中高危以上漏洞对用户影响较大，在此次安全评测中对此类漏洞的选取比例达74.4%。此次系统安全分析结果显示：95.9%的Android设备受到中危级别漏洞的危害，99.7%的Android设备存在高危漏洞，67.7%的Android设备受到严重级别的漏洞影响。二、系统漏洞的危害方式此次报告评测的78个系统漏洞，参照Google官方对系统漏洞的技术类型分类标准并加以适当合并，按照各漏洞的明显特征分类，共分为远程攻击、权限提升、信息泄漏三个类别。远程攻击漏洞是指攻击者可以通过网络连接对用户的系统进行远程攻击的漏洞，权限提升是指攻击者可以将自身所拥有的权限得以提升的漏洞，信息泄漏则为可以获得系统或用户敏感信息的漏洞。在这78个漏洞中，按照其危害方式分类，有远程攻击漏洞35个，权限提升漏洞29个，信息泄漏漏洞14个。此次系统安全分析结果显示：99.9%的设备存在远程攻击漏洞，97.0%的设备存在权限提升漏洞，84.8%的设备存在信息泄露漏洞。与往期相比，检测漏洞数有所增加且影响设备比例也有所提升，说明绝大部分手机的更新情况不容乐观并且仍在不