摘要

1.本次報(bào)告基于360手機(jī)衛(wèi)士的用戶，統(tǒng)計(jì)了22萬Android手機(jī)的漏洞情況。該報(bào)告通過分析中國(guó)大陸地區(qū)用戶Android系統(tǒng)手機(jī)存在的漏洞情況，以此進(jìn)行Android系統(tǒng)漏洞的研究，進(jìn)而為用戶的手機(jī)安全提供更加有效的服務(wù)與保障。

2.我們從最近一年的Android和Chrome安全公告中選取了25個(gè)漏洞作為測(cè)試的依據(jù)。這25個(gè)漏洞涵蓋了Android系統(tǒng)的各個(gè)層面，且都是與設(shè)備無關(guān)的通用漏洞。

3.在測(cè)試的22萬手機(jī)中，94.5%的手機(jī)存在安全漏洞，僅有5.5%的手機(jī)沒有安全漏洞。

4.在測(cè)試的22萬手機(jī)中，29.6%的手機(jī)標(biāo)明了系統(tǒng)patch_level。所有樣本中，僅有297臺(tái)設(shè)備的patch_level能與Google官方保持同步。

5.在所選樣本中，Android版本占比最高的是Android 4.4，Android 6.0的占比僅為7%。我們統(tǒng)計(jì)了Android版本與漏洞數(shù)量的關(guān)系，從整體上看，Android版本越高，漏洞數(shù)量越少。

6.在我們選取的25個(gè)漏洞中，有4個(gè)是系統(tǒng)瀏覽器內(nèi)核漏洞，樣本中91%的手機(jī)存在瀏覽器內(nèi)核相關(guān)漏洞，74%的設(shè)備同時(shí)存在4個(gè)瀏覽器內(nèi)核漏洞。作為用戶與互聯(lián)網(wǎng)接觸的直接承載者，瀏覽器漏洞如此廣泛的存在會(huì)對(duì)用戶的手機(jī)安全形成巨大的威脅。

7.根據(jù)樣本統(tǒng)計(jì)結(jié)果，用戶手機(jī)的平均漏洞數(shù)量存在比較明顯的地域特征，北京、上海地區(qū)的用戶手機(jī)漏洞數(shù)量最低，用戶手機(jī)漏洞數(shù)最多的是寧夏、河北等地。

8.根據(jù)樣本統(tǒng)計(jì)結(jié)果，男性用戶的手機(jī)版本普遍比女性用戶的手機(jī)版本低，男性用戶的手機(jī)平均漏洞數(shù)量比女性用戶高。

9.我們統(tǒng)計(jì)了手機(jī)root與漏洞數(shù)量的關(guān)系，已經(jīng)被root的手機(jī)的漏洞平均數(shù)是20.3，未root手機(jī)的漏洞平均數(shù)是15.9。漏洞越多的手機(jī)，被root的可能性越大。

10.我們統(tǒng)計(jì)了手機(jī)發(fā)布時(shí)間與漏洞數(shù)量的關(guān)系，整體上看越是最新發(fā)布的手機(jī)，存在的漏洞越少;發(fā)布越早的手機(jī)，存在漏洞越多。

安全測(cè)評(píng)綜述

針對(duì)手機(jī)系統(tǒng)的安全性測(cè)試，我們從近期的Android和chrome安全公告中，選取了25個(gè)漏洞作為評(píng)判手機(jī)安全性的依據(jù)。這25個(gè)漏洞的基本信息如表1所示，包括漏洞對(duì)外公布的時(shí)間、漏洞的嚴(yán)重級(jí)別、漏洞類型和漏洞簡(jiǎn)述。漏洞的嚴(yán)重級(jí)別有嚴(yán)重、高、中三個(gè)級(jí)別。漏洞的類型我們分了三類，包括遠(yuǎn)程攻擊漏洞、權(quán)限提升漏洞和信息泄露漏洞。

表1 漏洞基本信息

第一章 整體安全性分析

一、整體安全檢測(cè)結(jié)果

本次報(bào)告我們共計(jì)統(tǒng)計(jì)了22萬樣本，涵蓋基于Android 4.1 – Android 6.0系統(tǒng)的3000余種機(jī)型。從整體上看，國(guó)內(nèi)Android智能手機(jī)的安全狀況極不樂觀，絕大部分設(shè)備都存在系統(tǒng)漏洞。為了更加直觀的反應(yīng)國(guó)內(nèi)Android智能手機(jī)的整體安全狀況，我們制作了如下矩形樹圖，如圖1所示。

圖1 樣本機(jī)型平均漏洞數(shù)

在此圖中，我們以不同的手機(jī)型號(hào)作為分割點(diǎn)，針對(duì)每個(gè)型號(hào)的手機(jī)分析出了該型號(hào)的手機(jī)的平均漏洞數(shù)，以此來代表該型號(hào)手機(jī)整體的安全狀態(tài)，漏洞數(shù)從0個(gè)漏洞至21個(gè)漏洞均有存在，對(duì)應(yīng)圖中各色塊的顏色深淺，其中綠色代表相對(duì)安全，紅色則代表相對(duì)不安全。同時(shí)各機(jī)型的使用人數(shù)對(duì)應(yīng)圖中色塊的面積，使用人數(shù)越多，色塊的面積越大，在整個(gè)樣本中所占的比例越大。綜合上述兩個(gè)方面，以此較為合理的展現(xiàn)國(guó)內(nèi)Android智能手機(jī)整體的安全狀態(tài)。

通過圖中我們可以看出，國(guó)內(nèi)手機(jī)市場(chǎng)整體處于極度危險(xiǎn)的狀態(tài)，而使用量較多的機(jī)型中，平均每個(gè)機(jī)型的系統(tǒng)中存在的系統(tǒng)漏洞也都處于10個(gè)以上，而相對(duì)較安全一些的手機(jī)則使用量不多，因此也一定程度上造就了國(guó)內(nèi)針對(duì)安卓設(shè)備的各類木馬病毒攻擊紛繁不斷的情況。

在我們選取的25個(gè)漏洞中，有4個(gè)漏洞是2016年3月份之前的漏洞，其余是2016年3月到7月之間的漏洞，統(tǒng)計(jì)了不同月份的漏洞影響范圍。結(jié)果如圖2所示：

圖2 不同月份的漏洞影響范圍

從圖中可以看出，影響范圍最廣的是2016年3月份的漏洞。另外，我們還統(tǒng)計(jì)了25個(gè)漏洞中每個(gè)漏洞所影響的設(shè)備數(shù)量。統(tǒng)計(jì)結(jié)果如圖3所示：

圖3 每個(gè)漏洞影響設(shè)備數(shù)

從結(jié)果可以看出，25個(gè)漏洞中21個(gè)漏洞的影響范圍都很廣，影響設(shè)備數(shù)量在17萬之上。有4個(gè)漏洞的影響范圍比較小，這4個(gè)漏洞是與系統(tǒng)的藍(lán)牙及電話組件相關(guān)的，大部分OEM廠商會(huì)對(duì)這兩個(gè)組件做定制修改，會(huì)干擾漏洞檢測(cè)的結(jié)果。

二、按漏洞嚴(yán)重級(jí)別統(tǒng)計(jì)結(jié)果

在測(cè)試的22萬設(shè)備中，我們統(tǒng)計(jì)了不同危險(xiǎn)等級(jí)的漏洞所影響的設(shè)備數(shù)量，結(jié)果如下圖4所示：

圖4 不同危險(xiǎn)級(jí)別的漏洞的影響范圍

有197988臺(tái)設(shè)備存在嚴(yán)重級(jí)別的漏洞，有205149臺(tái)設(shè)備存在高危級(jí)別漏洞，有197988臺(tái)設(shè)備存在中危級(jí)別的漏洞。分別占設(shè)備總數(shù)的91.2%，94.5%，91.2%。

三、按漏洞類型統(tǒng)計(jì)結(jié)果

在22萬樣本設(shè)備中，我們按照漏洞的技術(shù)類型將漏洞劃分為三類，分別是遠(yuǎn)程攻擊漏洞，提權(quán)漏洞，信息泄露漏洞。我們統(tǒng)計(jì)了這三種類型漏洞所影響的設(shè)備數(shù)量，統(tǒng)計(jì)結(jié)果如下圖5所示

圖5 不同漏洞類型的漏洞影響范圍

有205149臺(tái)設(shè)備存在遠(yuǎn)程攻擊類漏洞，有197988臺(tái)設(shè)備存在權(quán)限提升類漏洞，有197988臺(tái)設(shè)備存在信息泄露類漏洞。分別占設(shè)備總數(shù)的94.5%，91.2%，91.2%。

第二章 漏洞分布特征

一、地域分布特征

在所有的樣本數(shù)據(jù)中，我們統(tǒng)計(jì)了用戶的地域分布，結(jié)果如下圖6所示。所有用戶共來自31個(gè)省市和直轄市，用戶來源最多的是廣東省，用戶來源最少的是西藏。

圖6 樣本的省份分布

由于每個(gè)省份的用戶基數(shù)不同，因此我們計(jì)算了每個(gè)省份的漏洞平均數(shù)。結(jié)果如下圖7所示：

圖7 各省份漏洞平均數(shù)

從上圖可以看出，平均漏洞數(shù)最少的是北京和上海;平均漏洞數(shù)最多的是寧夏、河北等地。用熱力圖表示如圖8所示，可以更好的看出平均漏洞數(shù)的地域分布特征。

圖8 漏洞數(shù)量的地域分布特征

二、性別分布特征

在統(tǒng)計(jì)的22萬設(shè)備中，我們進(jìn)一步統(tǒng)計(jì)了男女性別情況。樣本統(tǒng)計(jì)結(jié)果顯示，樣本男女比例約為6.9:1。結(jié)果如下圖9所示：

圖9 樣本中男女性別比例

在性別樣本中，我們統(tǒng)計(jì)了不同性別用戶的手機(jī)版本號(hào)分布，統(tǒng)計(jì)結(jié)果如下圖10所示：

圖10 不同性別手機(jī)系統(tǒng)版本對(duì)比

在女性手機(jī)用戶中，Android 6.0的占比約為10.43%;在男性手機(jī)用戶中，Android 6.0的占比約為6.48%。從圖中也可以明顯的看出，女性用戶的手機(jī)系統(tǒng)版本普遍高于男性用戶。

為了更直觀的體現(xiàn)性別與系統(tǒng)版本及手機(jī)漏洞數(shù)量三者之間的關(guān)系，我們計(jì)算了所取樣本的男女平均漏洞數(shù)量和平均SDK版本號(hào)，結(jié)果如下圖11所示：

圖11 性別與漏洞數(shù)量、版本號(hào)的關(guān)系

從圖中我們可以看出：女性用戶的手機(jī)系統(tǒng)版本普遍比男性高，女性用戶的手機(jī)漏洞數(shù)量普遍比男性用戶少。

三、手機(jī)root與漏洞數(shù)量的關(guān)系

手機(jī)root一般都會(huì)影響系統(tǒng)的OTA升級(jí)，所以我們統(tǒng)計(jì)了22萬設(shè)備的root情況。其中62225臺(tái)設(shè)備已經(jīng)被root，104181臺(tái)設(shè)備沒有root，其余設(shè)備root狀況未知。比例如圖12所示：

圖12 設(shè)備root比例

根據(jù)統(tǒng)計(jì)的root數(shù)據(jù)，我們計(jì)算了樣本中漏洞平均數(shù)與有無root權(quán)限的關(guān)系，結(jié)果如圖13所示，從圖中我們可以看出，漏洞數(shù)多的設(shè)備更有可能是可被root的設(shè)備。

圖13 root與漏洞數(shù)量的關(guān)系

四、手機(jī)發(fā)布時(shí)間與漏洞數(shù)量的關(guān)系

我們從樣本中選取了使用量最多的1000款手機(jī)，然后根據(jù)“中關(guān)村在線”(zol.com.cn)的數(shù)據(jù)，找到了其中約700款手機(jī)的數(shù)據(jù)，據(jù)此統(tǒng)計(jì)出了手機(jī)發(fā)布時(shí)間與漏洞數(shù)量的關(guān)系。結(jié)果如圖14所示：

圖14 手機(jī)發(fā)布時(shí)間與漏洞數(shù)量的關(guān)系

從圖中可以看出，從整體趨勢(shì)上看，發(fā)布時(shí)間越新的手機(jī)，漏洞數(shù)量會(huì)越少。但也存在一些特殊情況，比如2015年11月發(fā)布的手機(jī)的存在的漏洞比較多，這是因?yàn)橐恍㎡EM廠商不及時(shí)給手機(jī)系統(tǒng)打補(bǔ)丁導(dǎo)致的。

第三章 其他安全性分析

一、Android系統(tǒng)版本安全性分析

我們統(tǒng)計(jì)了樣本中Android系統(tǒng)版本的分布情況，結(jié)果如圖15所示，在所統(tǒng)計(jì)的樣本中，Android 4.4的占比最高，占比最低的是Android 4.3。Android 6.0的占比僅為7%。

圖15 Android版本分布

我們統(tǒng)計(jì)了漏洞平均數(shù)與Android版本的關(guān)系，在樣本范圍內(nèi)，結(jié)果如圖16所示：

圖16 Android版本與漏洞數(shù)量的關(guān)系

從圖中可以看出受影響最大的是Android 4.3，受影響最小的是Android 6.0。系統(tǒng)版本越高，漏洞數(shù)量越少。

二、系統(tǒng)瀏覽器內(nèi)核安全性分析

瀏覽器內(nèi)核是指Android系統(tǒng)的webview組件的核心，在Android 4.4之前，Android系統(tǒng)的webview是基于webkit的，在Android 4.4之后系統(tǒng)webview的核心被換成了Chromium。我們統(tǒng)計(jì)了所有22萬設(shè)備的瀏覽器內(nèi)核版本，統(tǒng)計(jì)結(jié)果如圖17所示：

圖17 系統(tǒng)瀏覽器內(nèi)核版本分布

從圖中可以看出，瀏覽器內(nèi)核版本占比最高的是Chrome 33，占比為40%。目前Chrome的最高版本為53，在獲取的22萬樣本數(shù)據(jù)中，僅有38臺(tái)設(shè)備的Chrome版本為53。大部分設(shè)備的瀏覽器內(nèi)核版本存在更新滯后的問題。

在我們選取的25個(gè)漏洞中，包含4個(gè)Chrome漏洞。這類漏洞一般會(huì)影響Android系統(tǒng)webview組件的安全性，且多數(shù)漏洞可通過遠(yuǎn)程方式利用，危害較大。我們統(tǒng)計(jì)了樣本中Chrome漏洞的分布情況，結(jié)果如圖18所示，其中91%的設(shè)備存在至少一個(gè)Chrome漏洞，74%的設(shè)備同時(shí)存在4個(gè)Chrome漏洞，僅有9%的設(shè)備不受這四個(gè)漏洞影響。

圖18 chrome漏洞影響范圍

三、安全補(bǔ)丁程序級(jí)別與手機(jī)安全性的關(guān)系

在2015年Android stagefright漏洞爆發(fā)之后，Google在每個(gè)月的安全更新中加入了安全補(bǔ)丁程序級(jí)別(Android Security Patch Level)，用以表明當(dāng)前Android設(shè)備的最新的補(bǔ)丁時(shí)間，用戶可在手機(jī)的”設(shè)置-關(guān)于”選項(xiàng)中查看自己手機(jī)的安全補(bǔ)丁級(jí)別。

在統(tǒng)計(jì)的22萬樣本設(shè)備中，僅有64214臺(tái)設(shè)備可以獲取到安全補(bǔ)丁級(jí)別，僅占樣本總數(shù)的29.6%。我們進(jìn)而統(tǒng)計(jì)了這64214臺(tái)設(shè)備的patch level分布情況，結(jié)果如圖19所示，占比最多的patch_level是2016-08-01，占比為41%。目前Android系統(tǒng)最新的patch_level是2016-09-01，在所有樣本中僅有297臺(tái)手機(jī)的patch_level是最新的。

圖19 樣本patch_level分布

為了驗(yàn)證patch_level與漏洞數(shù)量的關(guān)系。我們統(tǒng)計(jì)了不同patch_level設(shè)備的漏洞數(shù)量，結(jié)果如圖20所示:

圖20 patch_level與漏洞數(shù)量的關(guān)系

從整體漏洞平均數(shù)來看，并不是patch_level越新，平均漏洞數(shù)就越少。從漏洞眾數(shù)(指大多數(shù)設(shè)備所存在的漏洞數(shù))的角度看，也不能看出patch_level與漏洞數(shù)量的關(guān)系。從不同patch_level的最少漏洞數(shù)和最多漏洞數(shù)的角度看，patch_level越新，漏洞數(shù)量越少。造成這種現(xiàn)象主要有兩個(gè)方面因素，一是廠商隨意修改patch_level值，或者沒有完全打上所有的patch;二是因?yàn)槭苈┒从绊懛秶?，并不是越新的漏洞影響范圍?huì)越廣，有些漏洞可能只影響最新的Android系統(tǒng)，對(duì)舊版本系統(tǒng)反而沒有影響。

為了更準(zhǔn)確的探究patch_level與漏洞數(shù)量的關(guān)系，我們從設(shè)備樣本中選取了樣本中占有率排名前16款的手機(jī)，并統(tǒng)計(jì)了這些機(jī)型在不同patch_level下的漏洞數(shù)量。結(jié)果如圖21所示：

圖21 特定設(shè)備漏洞數(shù)量與patch_level的關(guān)系

橫坐標(biāo)是patch_level值，每個(gè)設(shè)備縱坐標(biāo)的高度代表該設(shè)備的在當(dāng)前patch_level時(shí)的漏洞平均數(shù)。從單個(gè)設(shè)備的patch_level與漏洞數(shù)量的關(guān)系看，大部分設(shè)備的漏洞數(shù)量是隨著patch_level的遞增而減少的。也會(huì)存在部分設(shè)備的異常情況，這跟我們選取的漏洞的特征是有關(guān)系的，有些較新的漏洞可能只會(huì)影響最新的系統(tǒng)，對(duì)舊版本系統(tǒng)反而不影響。

第四章 安全建議

經(jīng)過上述對(duì)Android系統(tǒng)漏洞的研究，我們可以看出仍然存在大量未升級(jí)至新版本系統(tǒng)和未打補(bǔ)丁的設(shè)備正在被使用，這些與安全更新脫節(jié)的現(xiàn)象直接導(dǎo)致用戶手機(jī)暴露于各種漏洞的威脅之下。而用戶幾乎每天都要直接或間接使用的瀏覽器組件，仍有90%多的設(shè)備存在一個(gè)或多個(gè)漏洞，這些漏洞直接將用戶每天的正常使用暴露于攻擊者的攻擊向量?jī)?nèi)，嚴(yán)重威脅用戶的隱私、財(cái)產(chǎn)安全。

綜上，對(duì)于Android手機(jī)用戶，我們特此提出如下安全建議：

1) 及時(shí)檢查并安裝最新的OTA更新，修復(fù)安全漏洞;

2) 對(duì)于需要root權(quán)限的用戶，我們建議賦予相關(guān)安全軟件root權(quán)限，保障手機(jī)安全;

3) 不要下載未知來源的應(yīng)用;

4) 不要點(diǎn)擊陌生鏈接;

5) 及時(shí)升級(jí)系統(tǒng)瀏覽器或使用最新版360手機(jī)瀏覽器;

6) 盡量使用證書驗(yàn)證的HTTPS通信或者其他加密信道，避免瀏覽器因中間人攻擊暴露于攻擊者的攻擊范圍內(nèi)。

智能手機(jī)操作系統(tǒng)的安全性直接影響了用戶網(wǎng)絡(luò)生活整體的安全性，為了盡可能保障用戶手機(jī)的安全，我們建議手機(jī)廠商：

1) 延長(zhǎng)手機(jī)產(chǎn)品的系統(tǒng)更新支持時(shí)限，避免出現(xiàn)手機(jī)系統(tǒng)老舊的情況;

2) 及時(shí)推送OTA安全補(bǔ)丁，保障手機(jī)安全;

3) 及時(shí)更新瀏覽器內(nèi)核，保障瀏覽器的安全性。

【本文是51CTO專欄作者李少鵬的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】