信息來源：安全牛

研究背景

在中國，Android系統(tǒng)作為智能手機(jī)中市場占有率最高的移動操作系統(tǒng)，承載著億萬手機(jī)用戶的生產(chǎn)生活，大量的Android開發(fā)人員為其添磚加瓦。但樹大招風(fēng)，Android智能手機(jī)也暴露在各種惡意軟件、系統(tǒng)漏洞的威脅之中，無數(shù)惡意軟件、電信詐騙不斷挑戰(zhàn)用戶的安全意識，但各種隱藏在系統(tǒng)之中的系統(tǒng)漏洞對用戶的手機(jī)安全影響更為可怕。

由于Android操作系統(tǒng)目前仍未有非常完善的補(bǔ)丁機(jī)制為其修補(bǔ)系統(tǒng)漏洞，再加上Android系統(tǒng)碎片化嚴(yán)重，各手機(jī)廠商若要為采用Android系統(tǒng)的各種設(shè)備修復(fù)安全問題則需投入大量人力物力。

隨著各種系統(tǒng)漏洞的不斷披露，現(xiàn)存的Android智能手機(jī)就像一艘漏水的船，縱然手機(jī)安全軟件能夠緩解一些安全隱患，但系統(tǒng)中的漏洞仍未能有效修補(bǔ)，而Android安全軟件又無法被授予系統(tǒng)的最高權(quán)限，因而Android系統(tǒng)安全問題一直非常棘手。

此報告基于“360透視鏡”應(yīng)用用戶主動上傳的70萬份漏洞檢測報告，檢測內(nèi)容包括近兩年Android與Chrome安全公告中檢出率最高的42個漏洞，涵蓋了Android系統(tǒng)的各個層面，且都與設(shè)備無關(guān)。我們統(tǒng)計并研究了樣本中的漏洞測試結(jié)果數(shù)據(jù)，并對安全狀況予以客觀具體的量化，希望引起用戶和廠商對于手機(jī)系統(tǒng)漏洞的關(guān)注與重視，為Android智能手機(jī)用戶的安全保駕護(hù)航，并希望以此來推進(jìn)國內(nèi)Android智能手機(jī)生態(tài)環(huán)境的安全、健康發(fā)展。

第一章 手機(jī)系統(tǒng)安全性綜述

一、系統(tǒng)漏洞的危險等級

此次報告評測的42個系統(tǒng)漏洞，按照Google官方對系統(tǒng)漏洞的危險評級標(biāo)準(zhǔn)，按照危險等級遞減的排序規(guī)則，共分為嚴(yán)重、高危、中危三個級別。即“嚴(yán)重”級別的漏洞對系統(tǒng)的安全性影響最大，其次為“高危”級別漏洞，然后為“中?！奔墑e漏洞，低危漏洞未入選。

在這42個漏洞中，按照其危險等級分類，有嚴(yán)重級別漏洞8個，高危級別漏洞23個，中危級別漏洞11個。其中高危以上漏洞對用戶影響較大，在此次安全評測中對此類漏洞的選取比例達(dá)73.8%。

此次系統(tǒng)安全分析結(jié)果顯示： 99.1%的Android設(shè)備受到中危級別漏洞的危害，99.9%的Android設(shè)備存在高危漏洞，87.7%的Android設(shè)備受到嚴(yán)重級別的漏洞影響。

二、系統(tǒng)漏洞的危害方式

此次報告評測的42個系統(tǒng)漏洞，參照Google官方對系統(tǒng)漏洞的技術(shù)類型分類標(biāo)準(zhǔn)并加以適當(dāng)合并，按照各漏洞的明顯特征分類，共分為遠(yuǎn)程攻擊、權(quán)限提升、信息泄漏三個類別。遠(yuǎn)程攻擊漏洞是指攻擊者可以通過網(wǎng)絡(luò)連接遠(yuǎn)程對用戶的系統(tǒng)進(jìn)行攻擊的漏洞，權(quán)限提升是指攻擊者可以將自身所擁有的權(quán)限提升的漏洞，信息泄漏則為可以獲得系統(tǒng)或用戶敏感信息的漏洞。

在這42個漏洞中，按照其危害方式分類，有遠(yuǎn)程攻擊漏洞18個，權(quán)限提升漏洞17個，信息泄漏漏洞7個。

此次系統(tǒng)安全分析結(jié)果顯示：99.8%的設(shè)備存在遠(yuǎn)程攻擊漏洞，98.4%的設(shè)備存在權(quán)限提升漏洞，99.6%的設(shè)備存在信息泄露漏洞。

為了觀察不同類別的哪些漏洞影響的設(shè)備比例最多，我們分別對三種類別的漏洞進(jìn)行統(tǒng)計排序，挑選出了各類別中影響設(shè)備比例占比前三名的漏洞，其中影響最廣泛的是信息泄露漏洞CVE-2016-1677，80.9%的設(shè)備都存在這個漏洞。權(quán)限提升攻擊漏洞中，CVE-2016-3921影響最廣，遠(yuǎn)程攻擊漏洞中，CVE-2016-3861影響設(shè)備最多。

上一季度中影響比重占前三的漏洞分別為CVE-2016-3921，影響93.6%的設(shè)備、CVE-2016-3861，影響88.2%的設(shè)備、CVE-2016-3832，影響85.2%的安卓設(shè)備。與上一季度相比，從本季度的數(shù)據(jù)中可以發(fā)現(xiàn)，單個漏洞的影響比例整體有所下降，表明在2017年第一季度中，安卓設(shè)備整體處于不斷推進(jìn)安全更新的過程中，但補(bǔ)丁情況仍有一定時間的滯后。

三、系統(tǒng)瀏覽器內(nèi)核的安全性

系統(tǒng)瀏覽器內(nèi)核是用戶每日使用手機(jī)時接觸最多的系統(tǒng)組件，不僅僅是指用戶瀏覽網(wǎng)頁的獨(dú)立瀏覽器，實(shí)際上，許多安卓應(yīng)用開發(fā)者考慮到開發(fā)速度、保障不同設(shè)備之間的統(tǒng)一性等因素，會使用系統(tǒng)提供的瀏覽器內(nèi)核組件。因而用戶在每日的手機(jī)使用中，大多會直接或間接地調(diào)用了系統(tǒng)瀏覽器內(nèi)核。

在此次評測中，系統(tǒng)瀏覽器內(nèi)核是指Android系統(tǒng)的Webview組件的核心，在Android 4.4之前，Android系統(tǒng)的Webview是基于Webkit的，在Android 4.4及以后的系統(tǒng)中，Webview的核心被換成了Chromium(Chrome的開源版本)。

在統(tǒng)計的樣本中，其中Webkit內(nèi)核版本由于其版本較為一致，故在示意圖中僅占一塊，其余為Chrome內(nèi)核的不同版本。Webkit所占比重從上季度的19%減少至11%，表明版本號低于Android 4.4的安卓設(shè)備占比正在減少。當(dāng)前Google發(fā)布的Android平臺穩(wěn)定版Chrome內(nèi)核版本為Chrome57，而從圖中可以看出，Chrome內(nèi)核版本大于等于50的設(shè)備僅占3%，Chrome 39以下版本仍累計占比34%，但相比于上季度所統(tǒng)計的61%有很大改善。總的來說，國內(nèi)安卓生態(tài)圈中對瀏覽器內(nèi)核的更新進(jìn)度相對迅速，但仍存在嚴(yán)重的更新滯后問題。

為了研究不同瀏覽器內(nèi)核版本的安全性，我們統(tǒng)計了不同版本的瀏覽器內(nèi)核的平均漏洞個數(shù)。下圖顯示了不同Webview版本平均漏洞數(shù)量，其中內(nèi)核版本在Chrome 46以下的版本中漏洞數(shù)量明顯高于Chrome 47以上版本，Chrome 51以上版本漏洞數(shù)量相對最少。

瀏覽器內(nèi)核漏洞多數(shù)可通過遠(yuǎn)程方式利用，所以對于用戶的手機(jī)安全危害較大。安卓系統(tǒng)瀏覽器內(nèi)核漏洞的分布情況如下圖所示，其中99.3%的設(shè)備存在至少一個瀏覽器內(nèi)核漏洞，25.3%的設(shè)備同時存在4個瀏覽器內(nèi)核漏洞，僅有0.7%的設(shè)備不受這些漏洞影響。

四、系統(tǒng)漏洞的數(shù)量分布

為了研究用戶手機(jī)中漏洞數(shù)量的分布規(guī)律，我們統(tǒng)計了所有樣本中手機(jī)存在漏洞個數(shù)的比例分布，結(jié)果如下圖所示。

在此次測試中，我們僅檢測了已知的42個漏洞，有高達(dá)99.99%的手機(jī)存在安全漏洞，僅有0.01%的手機(jī)不存在本次評測中的42個漏洞，存在5個及以上漏洞的手機(jī)在總樣本中占比達(dá)97.38%，存在漏洞最多的手機(jī)中有多達(dá)35個漏洞，在70萬國內(nèi)Android設(shè)備樣本中，僅有4臺手機(jī)不存在這些漏洞且瀏覽器內(nèi)核版本大于等于Chrome57。

與上一季度相比，該部分?jǐn)?shù)據(jù)并無明顯變化，雖然國內(nèi)廠商在不斷地對安卓設(shè)備進(jìn)行安全更新，但是安全漏洞也在層出不窮，存在漏洞的設(shè)備比重仍然居高不下。

第二章 手機(jī)系統(tǒng)版本安全性

一、各系統(tǒng)版本漏洞情況

由于Android系統(tǒng)在升級時不可直接跨版本升級而廠商往往又不愿意為舊機(jī)型耗費(fèi)人力物力適配新系統(tǒng)，因而在一定程度上導(dǎo)致了Android系統(tǒng)版本的碎片化。

為了研究不同版本的安卓系統(tǒng)的安全性，我們統(tǒng)計了樣本手機(jī)所使用的安卓版本分布，并進(jìn)一步對這些不同的版本的漏洞數(shù)量進(jìn)行了統(tǒng)計分析。

采用Android系統(tǒng)版本的分布情況如下圖所示，在此次樣本中，Android系統(tǒng)占比最高的3個版本分別為Android 5.1、 Android 4.4和Android 6.0，比例分別達(dá)到31%、25%和24%，而最新版的Android 7.0和7.1版本所占比例僅接近于1%。

與去年相比，Android 5.0及以上的設(shè)備所占比重從49%提升至65%，版本更新速度有較快的發(fā)展。且Android 5.1系統(tǒng)代替Android 4.4系統(tǒng)成為當(dāng)前主流的Android操作系統(tǒng)。

通過對每個Android版本平均漏洞數(shù)量進(jìn)行統(tǒng)計，得到如下圖所示結(jié)果，從圖中可看出Android 5.1及其以下版本平均漏洞數(shù)量較多；Android 6.0以上系統(tǒng)則更為安全，平均漏洞數(shù)量急劇降低。

從圖中可以看出，安卓系統(tǒng)版本與漏洞數(shù)量并不是簡單的線性關(guān)系。Android 5.0以下版本漏洞數(shù)量隨版本升高而遞增，并不是說明Android版本越高越不安全，而是因?yàn)榇舜螜z測主要關(guān)注的是最近兩年的漏洞，而Android 4.4發(fā)布距今已經(jīng)過去了3年的時間，因而相對版本越老的Android系統(tǒng)因?yàn)椴恢С州^新的功能而可能不存在相應(yīng)的漏洞。Android 5.0以上版本，隨著系統(tǒng)版本升高，漏洞數(shù)量急劇減少。

由上圖我們可以看出，系統(tǒng)版本和系統(tǒng)的安全性并不是簡單的遞增遞減關(guān)系，實(shí)際上系統(tǒng)的安全性受到廠商重視度、系統(tǒng)功能的多少與變動，甚至服役時間、普及程度、惡意攻擊者的攻擊價值等等因素的共同影響，但修補(bǔ)了歷史已知漏洞的最新系統(tǒng)往往會相對安全些。

二、安卓系統(tǒng)漏洞緩解措施

隨著Android版本號的提升，其安全手段與漏洞緩解措施也在逐次加固。通常來說，版本越新的安卓系統(tǒng)，其安全防護(hù)手段越強(qiáng)，系統(tǒng)漏洞利用的難度也越大。

例如，從Android4.3開始，安卓開始引入SELinux沙盒機(jī)制，并在后續(xù)的版本中不斷對其進(jìn)行加固 ，從Android 5.0開始，引入全盤加密，以保證用戶的信息安全。2016年度，谷歌發(fā)布Android 7.0，在該版本的安卓中提供了基于文件的加密，進(jìn)一步保證了用戶的信息安全；并實(shí)現(xiàn)了深層次的地址隨機(jī)化機(jī)制，使得本地權(quán)限提升的攻擊難度顯著提高；該版本Android系統(tǒng)中谷歌工程師對Media Server進(jìn)行了重構(gòu)，將其按照最小權(quán)限原則將之分隔成多個獨(dú)立的進(jìn)程與組件，從而即使其中某一個進(jìn)程或組件存在漏洞，攻擊者也無法在別的進(jìn)程空間內(nèi)執(zhí)行代碼；并且在整個Media Server的編譯過程中新增了整型溢出防護(hù)機(jī)制，從而從編譯階段杜絕類似于stagefright漏洞利用情況的出現(xiàn)。

不論從漏洞數(shù)目，還是漏洞防護(hù)機(jī)制上，新版本的安卓系統(tǒng)均比低版本安卓系統(tǒng)安全性更好。而國內(nèi)由于安卓碎片化的存在，仍有大量低版本的存在漏洞的安卓設(shè)備存在。

第三章 手機(jī)系統(tǒng)安全性地域分布

正如電信詐騙、偽基站等有明顯的地域分布特征，為了更加細(xì)致地探究系統(tǒng)漏洞與不同省市之間的關(guān)系，我們根據(jù)樣本數(shù)據(jù)中地域信息進(jìn)行了統(tǒng)計和分析。

下圖為各省份平均每臺手機(jī)漏洞數(shù)量，數(shù)值越大，說明該地域安卓手機(jī)的安全性相對越低、越不安全；數(shù)字越小，則代表該地域安卓手機(jī)的安全性越高。手機(jī)安全性最低的前三名為青海、吉林、甘肅，平均每臺手機(jī)擁有漏洞數(shù)分別為19.9、19.7、19.7個。而安全性最高的前五名為西藏、上海、江蘇，天津，北京，平均每臺手機(jī)擁有漏洞數(shù)17.9、18.1、18.3，18.4，18.5。大致上，經(jīng)濟(jì)越發(fā)達(dá)的地區(qū)，用戶所使用的手機(jī)的平均漏洞數(shù)量越少，手機(jī)安全性相對越高。

用熱力圖表示如上圖所示，可以更好的看出平均漏洞數(shù)的地域分布特征。顏色越紅的地區(qū)，手機(jī)的安全性越低，顏色越淺的地區(qū)，手機(jī)安全性越高。

第四章 手機(jī)系統(tǒng)安全性與用戶性別的相關(guān)性

由于性別上天生的性格、喜好等的差異，不同性別的用戶在選擇手機(jī)時可能會有不同的側(cè)重點(diǎn)，比如女性用戶可能在外觀、輕薄、顏色等方面著重考慮，而男性可能更側(cè)重性能、屏幕尺寸等因素，而一部手機(jī)在其服役周期內(nèi)也可能會因時間的推移而被不同的使用者所使用。而廠商在手機(jī)的升級維護(hù)中，不同手機(jī)又會有不同的策略。

為了探究手機(jī)系統(tǒng)的安全性與用戶性別之間有無聯(lián)系，我們調(diào)研了1000位用戶的性別信息，統(tǒng)計了不同性別用戶與其手機(jī)的安全性之間可能的關(guān)系。

從上圖中，我們可以清晰的看出：在不同性別中，男性使用系統(tǒng)版本大于或等于5.0的手機(jī)的比例遠(yuǎn)低于女性用戶，包括各版本的比例中，男性用戶使用的比例也明顯低于女性用戶；而男性用戶中使用系統(tǒng)版本低于5.0的比例要遠(yuǎn)高于女性用戶所占的比例，包括各版本的比例中，男性用戶使用的比例也明顯高于女性用戶。即女性用戶中，使用新版本手機(jī)的比例明顯高于男性，這一結(jié)論在上述數(shù)據(jù)中，以5.0為界限統(tǒng)計的宏觀角度和以不同安卓小版本單獨(dú)統(tǒng)計的微觀角度都成立。

在不同性別的用戶手機(jī)的所存在的漏洞情況如上圖所示。我們可以看到女性手機(jī)的平均系統(tǒng)版本數(shù)值約為21.3 (數(shù)值為系統(tǒng)API版本，為Google官方為便于安卓版本的計數(shù)而提供的一個版本的數(shù)字代號，其中4.4為19, 5.0為21)，即平均使用的版本號大于Android 5.0，而男性使用的平均版本號為20.7，平均使用的Android版本號小于5.0。在此次統(tǒng)計中，我們發(fā)現(xiàn)，雖然女性手機(jī)平均版本比男性要高，但平均漏洞數(shù)女性手機(jī)所存在的漏洞數(shù)量也是高于男性。這與上面我們分析的漏洞數(shù)量與系統(tǒng)新舊不是簡單的線性關(guān)系的結(jié)論有關(guān)，并且和我們上述對于不同版本的安卓系統(tǒng)的漏洞數(shù)的結(jié)論保持一致。

第五章 手機(jī)系統(tǒng)安全漏洞的修復(fù)

受到Android系統(tǒng)的諸多特性的影響，系統(tǒng)版本的碎片化問題日益突出。就每一款手機(jī)而言，廠商在其維護(hù)周期內(nèi)，通常會隔一段時間向用戶推送一次升級版本，而用戶在大多數(shù)情況下可以自主選擇升級或不升級。綜合這些特性，在Android系統(tǒng)的安全漏洞方面，也產(chǎn)生了嚴(yán)重的碎片化問題。

在Android系統(tǒng)中，存在一個名為“Android安全補(bǔ)丁級別”的字段，它是谷歌公司向第三方安卓手機(jī)廠商推送的一個Android安全補(bǔ)丁的日期號，旨在為安卓設(shè)備的已知漏洞的修復(fù)情況做一個簡單的說明。當(dāng)前谷歌對于Android 4.4及其上版本號的安卓系統(tǒng)會定期推送更新，如果廠商遵循谷歌公司的建議正確打入補(bǔ)丁，那么手機(jī)中顯示的安全補(bǔ)丁級別日期越新，手機(jī)的安全情況就相對越安全。

為了探究手機(jī)系統(tǒng)中已知安全漏洞的修復(fù)情況，我們對樣本中不同設(shè)備型號、不同系統(tǒng)安全漏洞的修復(fù)情況做了相關(guān)研究。

一、廠商漏洞修復(fù)情況

為了探究國內(nèi)廠商為現(xiàn)存設(shè)備修復(fù)安全漏洞的情況，我們統(tǒng)計了樣本中不同廠商手機(jī)目前的安全補(bǔ)丁級別情況。

下圖為各廠商手機(jī)中實(shí)際存在的安全補(bǔ)丁級別情況，該情況是將各廠商現(xiàn)存手機(jī)中實(shí)際補(bǔ)丁日期與谷歌官方最新版本（2017年4月）版本對比，綜合安全補(bǔ)丁級別最高、最新的手機(jī)品牌前5名。圖中綠色方塊面積越大，說明該廠商的手機(jī)補(bǔ)丁級別相對越高，漏洞修復(fù)相對越及時；相反，如果黃色和橙色面積越大，則說明補(bǔ)丁級別越低，漏洞修復(fù)越滯后。

圖中我們可以看出，在及時推送安全補(bǔ)丁級別方面，華為、三星、Vivo、小米、酷派這五個廠商在國內(nèi)做的最好。

二、用戶主動升級意愿

對于每一款安卓手機(jī)，其手機(jī)中運(yùn)行的系統(tǒng)大多由手機(jī)廠商在其維護(hù)周期內(nèi)提供。由于手機(jī)服役周期超出廠商維護(hù)周期，往往導(dǎo)致手機(jī)系統(tǒng)無法與最新的安卓版本保持一致。加之不同廠商對不同手機(jī)的支持維護(hù)程度不盡相同，在某些機(jī)型中，有些用戶即使有意愿將系統(tǒng)保持與谷歌最新版本一致，但由于廠商對此機(jī)型無支持、推送計劃，導(dǎo)致用戶最多只能保持到廠商最新版本。

為了探究用戶主動升級系統(tǒng)的意愿，我們統(tǒng)計了不同機(jī)型、不同安全補(bǔ)丁級別的分布情況。此統(tǒng)計為在每個機(jī)型中，觀察用戶是否主動保持這個廠商對此機(jī)型提供最新版本。

從數(shù)據(jù)中可以看出，約有63.7%的用戶能夠保持手機(jī)系統(tǒng)中安全補(bǔ)丁等級的版本與廠商所能提供的最新版本保持一致，較之上季度的47.8%有很明顯的增長，說明國內(nèi)用戶越來越偏向于主動對系統(tǒng)進(jìn)行下載與更新，從而保持最新版本。但是仍有36.3%的用戶的系統(tǒng)版本滯后廠商最新版本一個月及以上，大約28.4%的用戶手機(jī)版本滯后3個月以上，約15%的用戶手機(jī)版本滯后半年以上，有1.6%的用戶手機(jī)版本滯后官方最新版本達(dá)一年以上，而這些用戶將比保持系統(tǒng)更新的用戶更多地暴露在更多的漏洞與更大的攻擊風(fēng)險之下。

三、漏洞修復(fù)綜合分析

綜合對比用戶手機(jī)系統(tǒng)的更新狀態(tài)、安卓官方的更新狀態(tài)和手機(jī)廠商的更新狀態(tài)，我們發(fā)現(xiàn)：與安卓官方最新更新情況相比，用戶的手機(jī)系統(tǒng)平均滯后了約8.4個月，但與手機(jī)廠商已經(jīng)提供該機(jī)型的最新版本相比，則平均只滯后了3.1個月，由此可見，用戶手機(jī)因未能及時更新而存在安全漏洞的重要原因之一，就是手機(jī)廠商普遍未能實(shí)現(xiàn)其定制開發(fā)的安卓系統(tǒng)與安卓官方同步更新，而且延時較大。

下圖給出了用戶手機(jī)系統(tǒng)與安卓官方系統(tǒng)、手機(jī)廠商系統(tǒng)的更新情況對比。可以看到，超過一半（64.8%）的手機(jī)用戶能夠保持手機(jī)系統(tǒng)與廠商最新系統(tǒng)的同步更新，且近8成以上的用戶能夠在廠商推出更新版本后三個月內(nèi)更新自己的手機(jī)；但能夠享受與安卓官方最新系統(tǒng)保持同步更新服務(wù)的用戶則僅為0.5%，滯后時間小于3個月的用戶也不足30%。

作者：360互聯(lián)網(wǎng)安全中心