3602019年上半年度安卓系统安全性生态环境研究201981325页

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

2019年上半年度安卓系统安全性生态环境研究2019年8月13日摘要此报告数据来源为“360透视镜”(360团队发布的一款专业检测手机安全漏洞的APP,)用户主动上传的62万份漏洞检测报告,检测内容包括最近两年的Android和Chrome安全公告中检出率最高的104个漏洞,涵盖了Android系统的各个层面。检测结果显示,截止至2019年8月,所测设备中99.97%的Android手机存在安全漏洞,仅有0.03%的设备完全没有检测出漏洞,同比2018年,手机安全程度呈上升趋势。Android版本占比最高的3个版本分别为Android6.0、Android5.1和Android7.1,比例分别为37%、23%和19%。与2018年相比,用户整体的版本更新有所推进,低版本系统5.1和4.4数量不断减少,Android8.0和8.1数量持续在上升,最新的Android9.0版本占比也达到了2%。从漏洞分布上看,Android版本高低和漏洞数量多少并没有严格的线性关系,由于Google目前只对7.0及以上系统提供安全更新,所以在高版本系统(7.0及以上版本)上,漏洞数量明显减少。用户手机的平均漏洞数量存在比较明显的地域特征,安徽、北京、上海等地区的用户手机平均漏洞数量最少,黑龙江、宁夏、西藏等地区的用户手机漏洞数量相对较多。大致上,经济越发达的地区,用户所使用的手机的平均漏洞数量越少,手机安全程度相对越高。不同性别的用户平均系统版本较2018年均有所提升,同时不同性别的用户漏洞平均漏洞数量也有所下降。女性用户的手机系统版本提升幅度高于男性用户,男性用户的手机平均漏洞数量略高于女性用户。其中99.4%的设备存在浏览器内核相关漏洞,浏览器内核漏洞最多的设备同时存在7个漏洞,有半数以上的设备浏览器内核漏洞数达到3个以上,仅有0.6%的设备不受浏览器内核漏洞影响。安卓手机用户中,约有45.2%的用户会保持手机系统(特指安全补丁等级)版本与厂商所提供的最新版本保持一致,约有11.7%的用户的手机系统版本会滞后厂商最新版本1到3个月,接近5.9%的用户会滞后4到6个月,其余用户会滞后半年以上。与安卓官方最新更新情况相比,与安卓官方更新保持同步的手机仅占2.8%,滞后一年以上的手机占63.5%。由此可见,用户手机因未能及时更新而存在安全漏洞的重要原因之一,就是手机厂商定制开发的安卓系统普遍未能与Google官方同步更新,而且滞后性比较明显。关键词:安卓安全、安卓漏洞、漏洞检测目录研究背景..................................................................................................................................................1第一章手机系统安全性综述.............................................................................................................1一、系统漏洞的危险等级.............................................................................................................1二、系统漏洞的危害方式.............................................................................................................1三、系统浏览器内核的安全性.....................................................................................................3四、系统漏洞的数量分布.............................................................................................................5五、手机安全生态宏观描述.........................................................................................................6第二章手机系统版本安全性.............................................................................................................8一、各系统版本漏洞情况.............................................................................................................8二、安卓系统漏洞缓解措施.........................................................................................................9第三章手机系统安全性地域分布...................................................................................................11第四章手机系统安全性与用户性别的相关性................................................................................13第五章手机系统安全漏洞的修复...................................................................................................15一、厂商漏洞修复情况...............................................................................................................15二、用户主动升级意愿...............................................................................................................15三、漏洞修复综合分析...............................................................................................................17第六章新品手机安全更新情况.......................................................................................................18附录........................................................................................................................................................191研究背景在中国,Android系统作为智能手机中市场占有率最高的移动操作系统,承载着亿万手机用户的生产生活,大量的Android开发人员为其添砖加瓦。但树大招风,Android智能手机也暴露在各种恶意软件、系统漏洞的威胁之中,无数恶意软件、电信诈骗不断挑战用户的安全意识,但各种隐藏在系统之中的系统漏洞对用户的手机安全影响更为可怕。由于Android操作系统目前仍未有非常完善的补丁机制为其修补系统漏洞,再加上Android系统碎片化严重,各手机厂商若要为基于Android系统的各种设备修复安全问题则需投入大量人力物力。随着各种系统漏洞不断被披露,现存的Android智能手机就像一艘漏水的船,纵然手机安全软件能够缓解一些安全隐患,但系统中的漏洞仍未被有效修补,攻击大门依旧打开。而Android手机中的第三方安全软件又无法被授予系统的最高权限,因而Android系统安全问题一直非常棘手。为了让消费者了解到自己手机的安全性,360历时两年打造了中国第一个Android平台的手机漏洞检测工具“360透视镜”(),并向社会公开,任何用户和个人都可下载安装。“360透视镜”应用依据Android官方提供的安全补丁更新通知作为漏洞信息来源,在Android系统中实现了无需申请敏感权限即可检测Android系统中是否存在漏洞这一核心功能,降低了用户了解自己手机安全状况的限制门槛。此报告基于“360透视镜”应用用户主动上传的62万份漏洞检测报告,检测内容包括近两年(最新漏洞检测更新至2019年6月)Android与Chrome安全公告中检出率最高的104个漏洞,涵盖了Android系统的各个层面,且都与具体设备的硬件无关。我们统计并研究了样本中的漏洞测试结果数据,并对安全状况予以客观具体的量化,希望引起用户和厂商对于手机系统漏洞的关注与重视,为Android智能手机用户的安全保驾护航,并希望以此来推进国内Android智能手机生态环境的安全、健康地发展。1第一章手机系统安全性综述一、系统漏洞的危险等级此次报告评测的104个系统漏洞,按照Google官方对系统漏洞的危险评级标准,按照危险等级递减的排序规则,共分为严重、高危、中危三个级别。“严重”级别的漏洞对系统的安全性影响最大,其次为“高危”级别漏洞,然后为“中危”级别漏洞,“低危”级别漏洞未入选。在这104个漏洞中,按照其危险等级分类,有严重级别漏洞15个,高危级别漏洞68个,中危级别漏洞21个。其中高危以上漏洞对用户影响较大,在此次安全评测中对此类漏洞的选取比例达79.8%。此次系统安全分析结果显示:90.6%的Android设备受到中危级别漏洞的危害,99.9%的Android设备存在高危漏洞,47.4%的Android设备受到严重级别的漏洞影响。二、系统漏洞的危害方式在本次评测中,本报告参照了Google官方对系统漏洞的技术类型分类标准并加以适当合并,将104个系统漏洞按照各漏洞的特征分类,共分为远程攻击、权限提升、信息泄漏三个类别。远程攻击漏洞是指攻击者可以通过网络连接对用户的系统进行远程攻击的漏洞,权限提升是指攻击者可以将自身所拥有的权限得以提升的漏洞,信息泄漏则为可以获得系统或用户敏感信息的漏洞。在这104个漏洞中,按照其危害方式分类,包括远程攻击漏洞42个,权限提升漏洞42个,信息泄漏漏洞20个。此次系统安全分析结果显示:99.9%的设备存在远程攻击漏洞,98.7%的设备存在权限提升漏洞,93.2%的设备存在信息泄漏漏洞。与2018年检测结果相比,权限提升漏洞占比增加,导致权限提升漏洞影响的设备比例增加比较明显;信息泄漏漏洞影响设备占比有所降2低,远程攻击类漏洞影响设备占比一直居高不下。为了观察不同类别的漏洞中哪些影响的设备比例最多,我们分别对三种类别的漏洞进行统计排序,挑选出了各类别中影响设备比例占比前三名的漏洞,其中影响最广泛的漏洞为信息泄漏漏洞CVE-2018-9548,85.3%的设备都存在这个漏洞,2018年影响最广的信

1 / 25
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功