信息來源：安全牛

研究背景

在中國，Android系統(tǒng)作為智能手機中市場占有率最高的移動操作系統(tǒng)，承載著億萬手機用戶的生產(chǎn)生活，大量的Android開發(fā)人員為其添磚加瓦。但樹大招風(fēng)，Android智能手機也暴露在各種惡意軟件、系統(tǒng)漏洞的威脅之中，無數(shù)惡意軟件、電信詐騙不斷挑戰(zhàn)用戶的安全意識，但各種隱藏在系統(tǒng)之中的系統(tǒng)漏洞對用戶的手機安全影響更為可怕。

由于Android操作系統(tǒng)目前仍未有非常完善的補丁機制為其修補系統(tǒng)漏洞，再加上Android系統(tǒng)碎片化嚴重，各手機廠商若要為采用Android系統(tǒng)的各種設(shè)備修復(fù)安全問題則需投入大量人力物力。

隨著各種系統(tǒng)漏洞的不斷披露，現(xiàn)存的Android智能手機就像一艘漏水的船，縱然手機安全軟件能夠緩解一些安全隱患，但系統(tǒng)中的漏洞仍未能有效修補，而Android安全軟件又無法被授予系統(tǒng)的最高權(quán)限，因而Android系統(tǒng)安全問題一直非常棘手。

此報告基于“360透視鏡”應(yīng)用用戶主動上傳的70萬份漏洞檢測報告，檢測內(nèi)容包括近兩年Android與Chrome安全公告中檢出率最高的42個漏洞，涵蓋了Android系統(tǒng)的各個層面，且都與設(shè)備無關(guān)。我們統(tǒng)計并研究了樣本中的漏洞測試結(jié)果數(shù)據(jù)，并對安全狀況予以客觀具體的量化，希望引起用戶和廠商對于手機系統(tǒng)漏洞的關(guān)注與重視，為Android智能手機用戶的安全保駕護航，并希望以此來推進國內(nèi)Android智能手機生態(tài)環(huán)境的安全、健康發(fā)展。

第一章 手機系統(tǒng)安全性綜述

一、系統(tǒng)漏洞的危險等級

此次報告評測的42個系統(tǒng)漏洞，按照Google官方對系統(tǒng)漏洞的危險評級標準，按照危險等級遞減的排序規(guī)則，共分為嚴重、高危、中危三個級別。即“嚴重”級別的漏洞對系統(tǒng)的安全性影響最大，其次為“高?！奔墑e漏洞，然后為“中?！奔墑e漏洞，低危漏洞未入選。

在這42個漏洞中，按照其危險等級分類，有嚴重級別漏洞8個，高危級別漏洞23個，中危級別漏洞11個。其中高危以上漏洞對用戶影響較大，在此次安全評測中對此類漏洞的選取比例達73.8%。

此次系統(tǒng)安全分析結(jié)果顯示： 99.1%的Android設(shè)備受到中危級別漏洞的危害，99.9%的Android設(shè)備存在高危漏洞，87.7%的Android設(shè)備受到嚴重級別的漏洞影響。

二、系統(tǒng)漏洞的危害方式

此次報告評測的42個系統(tǒng)漏洞，參照Google官方對系統(tǒng)漏洞的技術(shù)類型分類標準并加以適當(dāng)合并，按照各漏洞的明顯特征分類，共分為遠程攻擊、權(quán)限提升、信息泄漏三個類別。遠程攻擊漏洞是指攻擊者可以通過網(wǎng)絡(luò)連接遠程對用戶的系統(tǒng)進行攻擊的漏洞，權(quán)限提升是指攻擊者可以將自身所擁有的權(quán)限提升的漏洞，信息泄漏則為可以獲得系統(tǒng)或用戶敏感信息的漏洞。

在這42個漏洞中，按照其危害方式分類，有遠程攻擊漏洞18個，權(quán)限提升漏洞17個，信息泄漏漏洞7個。

此次系統(tǒng)安全分析結(jié)果顯示：99.8%的設(shè)備存在遠程攻擊漏洞，98.4%的設(shè)備存在權(quán)限提升漏洞，99.6%的設(shè)備存在信息泄露漏洞。

為了觀察不同類別的哪些漏洞影響的設(shè)備比例最多，我們分別對三種類別的漏洞進行統(tǒng)計排序，挑選出了各類別中影響設(shè)備比例占比前三名的漏洞，其中影響最廣泛的是信息泄露漏洞CVE-2016-1677，80.9%的設(shè)備都存在這個漏洞。權(quán)限提升攻擊漏洞中，CVE-2016-3921影響最廣，遠程攻擊漏洞中，CVE-2016-3861影響設(shè)備最多。

上一季度中影響比重占前三的漏洞分別為CVE-2016-3921，影響93.6%的設(shè)備、CVE-2016-3861，影響88.2%的設(shè)備、CVE-2016-3832，影響85.2%的安卓設(shè)備。與上一季度相比，從本季度的數(shù)據(jù)中可以發(fā)現(xiàn)，單個漏洞的影響比例整體有所下降，表明在2017年第一季度中，安卓設(shè)備整體處于不斷推進安全更新的過程中，但補丁情況仍有一定時間的滯后。

三、系統(tǒng)瀏覽器內(nèi)核的安全性

系統(tǒng)瀏覽器內(nèi)核是用戶每日使用手機時接觸最多的系統(tǒng)組件，不僅僅是指用戶瀏覽網(wǎng)頁的獨立瀏覽器，實際上，許多安卓應(yīng)用開發(fā)者考慮到開發(fā)速度、保障不同設(shè)備之間的統(tǒng)一性等因素，會使用系統(tǒng)提供的瀏覽器內(nèi)核組件。因而用戶在每日的手機使用中，大多會直接或間接地調(diào)用了系統(tǒng)瀏覽器內(nèi)核。

在此次評測中，系統(tǒng)瀏覽器內(nèi)核是指Android系統(tǒng)的Webview組件的核心，在Android 4.4之前，Android系統(tǒng)的Webview是基于Webkit的，在Android 4.4及以后的系統(tǒng)中，Webview的核心被換成了Chromium(Chrome的開源版本)。

在統(tǒng)計的樣本中，其中Webkit內(nèi)核版本由于其版本較為一致，故在示意圖中僅占一塊，其余為Chrome內(nèi)核的不同版本。Webkit所占比重從上季度的19%減少至11%，表明版本號低于Android 4.4的安卓設(shè)備占比正在減少。當(dāng)前Google發(fā)布的Android平臺穩(wěn)定版Chrome內(nèi)核版本為Chrome57，而從圖中可以看出，Chrome內(nèi)核版本大于等于50的設(shè)備僅占3%，Chrome 39以下版本仍累計占比34%，但相比于上季度所統(tǒng)計的61%有很大改善。總的來說，國內(nèi)安卓生態(tài)圈中對瀏覽器內(nèi)核的更新進度相對迅速，但仍存在嚴重的更新滯后問題。

為了研究不同瀏覽器內(nèi)核版本的安全性，我們統(tǒng)計了不同版本的瀏覽器內(nèi)核的平均漏洞個數(shù)。下圖顯示了不同Webview版本平均漏洞數(shù)量，其中內(nèi)核版本在Chrome 46以下的版本中漏洞數(shù)量明顯高于Chrome 47以上版本，Chrome 51以上版本漏洞數(shù)量相對最少。

瀏覽器內(nèi)核漏洞多數(shù)可通過遠程方式利用，所以對于用戶的手機安全危害較大。安卓系統(tǒng)瀏覽器內(nèi)核漏洞的分布情況如下圖所示，其中99.3%的設(shè)備存在至少一個瀏覽器內(nèi)核漏洞，25.3%的設(shè)備同時存在4個瀏覽器內(nèi)核漏洞，僅有0.7%的設(shè)備不受這些漏洞影響。

四、系統(tǒng)漏洞的數(shù)量分布

為了研究用戶手機中漏洞數(shù)量的分布規(guī)律，我們統(tǒng)計了所有樣本中手機存在漏洞個數(shù)的比例分布，結(jié)果如下圖所示。

在此次測試中，我們僅檢測了已知的42個漏洞，有高達99.99%的手機存在安全漏洞，僅有0.01%的手機不存在本次評測中的42個漏洞，存在5個及以上漏洞的手機在總樣本中占比達97.38%，存在漏洞最多的手機中有多達35個漏洞，在70萬國內(nèi)Android設(shè)備樣本中，僅有4臺手機不存在這些漏洞且瀏覽器內(nèi)核版本大于等于Chrome57。

與上一季度相比，該部分數(shù)據(jù)并無明顯變化，雖然國內(nèi)廠商在不斷地對安卓設(shè)備進行安全更新，但是安全漏洞也在層出不窮，存在漏洞的設(shè)備比重仍然居高不下。

第二章 手機系統(tǒng)版本安全性

一、各系統(tǒng)版本漏洞情況

由于Android系統(tǒng)在升級時不可直接跨版本升級而廠商往往又不愿意為舊機型耗費人力物力適配新系統(tǒng)，因而在一定程度上導(dǎo)致了Android系統(tǒng)版本的碎片化。

為了研究不同版本的安卓系統(tǒng)的安全性，我們統(tǒng)計了樣本手機所使用的安卓版本分布，并進一步對這些不同的版本的漏洞數(shù)量進行了統(tǒng)計分析。

采用Android系統(tǒng)版本的分布情況如下圖所示，在此次樣本中，Android系統(tǒng)占比最高的3個版本分別為Android 5.1、 Android 4.4和Android 6.0，比例分別達到31%、25%和24%，而最新版的Android 7.0和7.1版本所占比例僅接近于1%。

與去年相比，Android 5.0及以上的設(shè)備所占比重從49%提升至65%，版本更新速度有較快的發(fā)展。且Android 5.1系統(tǒng)代替Android 4.4系統(tǒng)成為當(dāng)前主流的Android操作系統(tǒng)。

通過對每個Android版本平均漏洞數(shù)量進行統(tǒng)計，得到如下圖所示結(jié)果，從圖中可看出Android 5.1及其以下版本平均漏洞數(shù)量較多；Android 6.0以上系統(tǒng)則更為安全，平均漏洞數(shù)量急劇降低。

從圖中可以看出，安卓系統(tǒng)版本與漏洞數(shù)量并不是簡單的線性關(guān)系。Android 5.0以下版本漏洞數(shù)量隨版本升高而遞增，并不是說明Android版本越高越不安全，而是因為此次檢測主要關(guān)注的是最近兩年的漏洞，而Android 4.4發(fā)布距今已經(jīng)過去了3年的時間，因而相對版本越老的Android系統(tǒng)因為不支持較新的功能而可能不存在相應(yīng)的漏洞。Android 5.0以上版本，隨著系統(tǒng)版本升高，漏洞數(shù)量急劇減少。

由上圖我們可以看出，系統(tǒng)版本和系統(tǒng)的安全性并不是簡單的遞增遞減關(guān)系，實際上系統(tǒng)的安全性受到廠商重視度、系統(tǒng)功能的多少與變動，甚至服役時間、普及程度、惡意攻擊者的攻擊價值等等因素的共同影響，但修補了歷史已知漏洞的最新系統(tǒng)往往會相對安全些。

二、安卓系統(tǒng)漏洞緩解措施

隨著Android版本號的提升，其安全手段與漏洞緩解措施也在逐次加固。通常來說，版本越新的安卓系統(tǒng)，其安全防護手段越強，系統(tǒng)漏洞利用的難度也越大。

例如，從Android4.3開始，安卓開始引入SELinux沙盒機制，并在后續(xù)的版本中不斷對其進行加固 ，從Android 5.0開始，引入全盤加密，以保證用戶的信息安全。2016年度，谷歌發(fā)布Android 7.0，在該版本的安卓中提供了基于文件的加密，進一步保證了用戶的信息安全；并實現(xiàn)了深層次的地址隨機化機制，使得本地權(quán)限提升的攻擊難度顯著提高；該版本Android系統(tǒng)中谷歌工程師對Media Server進行了重構(gòu)，將其按照最小權(quán)限原則將之分隔成多個獨立的進程與組件，從而即使其中某一個進程或組件存在漏洞，攻擊者也無法在別的進程空間內(nèi)執(zhí)行代碼；并且在整個Media Server的編譯過程中新增了整型溢出防護機制，從而從編譯階段杜絕類似于stagefright漏洞利用情況的出現(xiàn)。

不論從漏洞數(shù)目，還是漏洞防護機制上，新版本的安卓系統(tǒng)均比低版本安卓系統(tǒng)安全性更好。而國內(nèi)由于安卓碎片化的存在，仍有大量低版本的存在漏洞的安卓設(shè)備存在。

第三章 手機系統(tǒng)安全性地域分布

正如電信詐騙、偽基站等有明顯的地域分布特征，為了更加細致地探究系統(tǒng)漏洞與不同省市之間的關(guān)系，我們根據(jù)樣本數(shù)據(jù)中地域信息進行了統(tǒng)計和分析。

下圖為各省份平均每臺手機漏洞數(shù)量，數(shù)值越大，說明該地域安卓手機的安全性相對越低、越不安全；數(shù)字越小，則代表該地域安卓手機的安全性越高。手機安全性最低的前三名為青海、吉林、甘肅，平均每臺手機擁有漏洞數(shù)分別為19.9、19.7、19.7個。而安全性最高的前五名為西藏、上海、江蘇，天津，北京，平均每臺手機擁有漏洞數(shù)17.9、18.1、18.3，18.4，18.5。大致上，經(jīng)濟越發(fā)達的地區(qū)，用戶所使用的手機的平均漏洞數(shù)量越少，手機安全性相對越高。

用熱力圖表示如上圖所示，可以更好的看出平均漏洞數(shù)的地域分布特征。顏色越紅的地區(qū)，手機的安全性越低，顏色越淺的地區(qū)，手機安全性越高。

第四章 手機系統(tǒng)安全性與用戶性別的相關(guān)性

由于性別上天生的性格、喜好等的差異，不同性別的用戶在選擇手機時可能會有不同的側(cè)重點，比如女性用戶可能在外觀、輕薄、顏色等方面著重考慮，而男性可能更側(cè)重性能、屏幕尺寸等因素，而一部手機在其服役周期內(nèi)也可能會因時間的推移而被不同的使用者所使用。而廠商在手機的升級維護中，不同手機又會有不同的策略。

為了探究手機系統(tǒng)的安全性與用戶性別之間有無聯(lián)系，我們調(diào)研了1000位用戶的性別信息，統(tǒng)計了不同性別用戶與其手機的安全性之間可能的關(guān)系。

從上圖中，我們可以清晰的看出：在不同性別中，男性使用系統(tǒng)版本大于或等于5.0的手機的比例遠低于女性用戶，包括各版本的比例中，男性用戶使用的比例也明顯低于女性用戶；而男性用戶中使用系統(tǒng)版本低于5.0的比例要遠高于女性用戶所占的比例，包括各版本的比例中，男性用戶使用的比例也明顯高于女性用戶。即女性用戶中，使用新版本手機的比例明顯高于男性，這一結(jié)論在上述數(shù)據(jù)中，以5.0為界限統(tǒng)計的宏觀角度和以不同安卓小版本單獨統(tǒng)計的微觀角度都成立。

在不同性別的用戶手機的所存在的漏洞情況如上圖所示。我們可以看到女性手機的平均系統(tǒng)版本數(shù)值約為21.3 (數(shù)值為系統(tǒng)API版本，為Google官方為便于安卓版本的計數(shù)而提供的一個版本的數(shù)字代號，其中4.4為19, 5.0為21)，即平均使用的版本號大于Android 5.0，而男性使用的平均版本號為20.7，平均使用的Android版本號小于5.0。在此次統(tǒng)計中，我們發(fā)現(xiàn)，雖然女性手機平均版本比男性要高，但平均漏洞數(shù)女性手機所存在的漏洞數(shù)量也是高于男性。這與上面我們分析的漏洞數(shù)量與系統(tǒng)新舊不是簡單的線性關(guān)系的結(jié)論有關(guān)，并且和我們上述對于不同版本的安卓系統(tǒng)的漏洞數(shù)的結(jié)論保持一致。

第五章 手機系統(tǒng)安全漏洞的修復(fù)

受到Android系統(tǒng)的諸多特性的影響，系統(tǒng)版本的碎片化問題日益突出。就每一款手機而言，廠商在其維護周期內(nèi)，通常會隔一段時間向用戶推送一次升級版本，而用戶在大多數(shù)情況下可以自主選擇升級或不升級。綜合這些特性，在Android系統(tǒng)的安全漏洞方面，也產(chǎn)生了嚴重的碎片化問題。

在Android系統(tǒng)中，存在一個名為“Android安全補丁級別”的字段，它是谷歌公司向第三方安卓手機廠商推送的一個Android安全補丁的日期號，旨在為安卓設(shè)備的已知漏洞的修復(fù)情況做一個簡單的說明。當(dāng)前谷歌對于Android 4.4及其上版本號的安卓系統(tǒng)會定期推送更新，如果廠商遵循谷歌公司的建議正確打入補丁，那么手機中顯示的安全補丁級別日期越新，手機的安全情況就相對越安全。

為了探究手機系統(tǒng)中已知安全漏洞的修復(fù)情況，我們對樣本中不同設(shè)備型號、不同系統(tǒng)安全漏洞的修復(fù)情況做了相關(guān)研究。

一、廠商漏洞修復(fù)情況

為了探究國內(nèi)廠商為現(xiàn)存設(shè)備修復(fù)安全漏洞的情況，我們統(tǒng)計了樣本中不同廠商手機目前的安全補丁級別情況。

下圖為各廠商手機中實際存在的安全補丁級別情況，該情況是將各廠商現(xiàn)存手機中實際補丁日期與谷歌官方最新版本（2017年4月）版本對比，綜合安全補丁級別最高、最新的手機品牌前5名。圖中綠色方塊面積越大，說明該廠商的手機補丁級別相對越高，漏洞修復(fù)相對越及時；相反，如果黃色和橙色面積越大，則說明補丁級別越低，漏洞修復(fù)越滯后。

圖中我們可以看出，在及時推送安全補丁級別方面，華為、三星、Vivo、小米、酷派這五個廠商在國內(nèi)做的最好。

二、用戶主動升級意愿

對于每一款安卓手機，其手機中運行的系統(tǒng)大多由手機廠商在其維護周期內(nèi)提供。由于手機服役周期超出廠商維護周期，往往導(dǎo)致手機系統(tǒng)無法與最新的安卓版本保持一致。加之不同廠商對不同手機的支持維護程度不盡相同，在某些機型中，有些用戶即使有意愿將系統(tǒng)保持與谷歌最新版本一致，但由于廠商對此機型無支持、推送計劃，導(dǎo)致用戶最多只能保持到廠商最新版本。

為了探究用戶主動升級系統(tǒng)的意愿，我們統(tǒng)計了不同機型、不同安全補丁級別的分布情況。此統(tǒng)計為在每個機型中，觀察用戶是否主動保持這個廠商對此機型提供最新版本。

從數(shù)據(jù)中可以看出，約有63.7%的用戶能夠保持手機系統(tǒng)中安全補丁等級的版本與廠商所能提供的最新版本保持一致，較之上季度的47.8%有很明顯的增長，說明國內(nèi)用戶越來越偏向于主動對系統(tǒng)進行下載與更新，從而保持最新版本。但是仍有36.3%的用戶的系統(tǒng)版本滯后廠商最新版本一個月及以上，大約28.4%的用戶手機版本滯后3個月以上，約15%的用戶手機版本滯后半年以上，有1.6%的用戶手機版本滯后官方最新版本達一年以上，而這些用戶將比保持系統(tǒng)更新的用戶更多地暴露在更多的漏洞與更大的攻擊風(fēng)險之下。

三、漏洞修復(fù)綜合分析

綜合對比用戶手機系統(tǒng)的更新狀態(tài)、安卓官方的更新狀態(tài)和手機廠商的更新狀態(tài)，我們發(fā)現(xiàn)：與安卓官方最新更新情況相比，用戶的手機系統(tǒng)平均滯后了約8.4個月，但與手機廠商已經(jīng)提供該機型的最新版本相比，則平均只滯后了3.1個月，由此可見，用戶手機因未能及時更新而存在安全漏洞的重要原因之一，就是手機廠商普遍未能實現(xiàn)其定制開發(fā)的安卓系統(tǒng)與安卓官方同步更新，而且延時較大。

下圖給出了用戶手機系統(tǒng)與安卓官方系統(tǒng)、手機廠商系統(tǒng)的更新情況對比?？梢钥吹剑^一半（64.8%）的手機用戶能夠保持手機系統(tǒng)與廠商最新系統(tǒng)的同步更新，且近8成以上的用戶能夠在廠商推出更新版本后三個月內(nèi)更新自己的手機；但能夠享受與安卓官方最新系統(tǒng)保持同步更新服務(wù)的用戶則僅為0.5%，滯后時間小于3個月的用戶也不足30%。

作者：360互聯(lián)網(wǎng)安全中心