信息來源：Freebuf

安全測評綜述

針對手機系統(tǒng)的安全性測試，我們從近期的Android和chrome安全公告中，選取了25個漏洞作為評判手機安全性的依據(jù)。這25個漏洞的基本信息如表1所示，包括漏洞對外公布的時間、漏洞的嚴(yán)重級別、漏洞類型和漏洞簡述。漏洞的嚴(yán)重級別有嚴(yán)重、高、中三個級別。漏洞的類型我們分了三類，包括遠程攻擊漏洞、權(quán)限提升漏洞和信息泄露漏洞。

漏洞編號	公布時間	嚴(yán)重級別	漏洞類型	漏洞簡述
CVE-2015-1805	2016.03.18	嚴(yán)重	權(quán)限提升	Linux內(nèi)核root權(quán)限提升漏洞
CVE-2016-0838	2016.04.07	嚴(yán)重	遠程攻擊	Android Mediaserver組件遠程代碼執(zhí)行漏洞
CVE-2016-0841	2016.04.07	嚴(yán)重	遠程攻擊	Android Mediaserver組件遠程代碼執(zhí)行漏洞
CVE-2016-2430	2016.05.04	嚴(yán)重	權(quán)限提升	Android Debuggerd組件權(quán)限提升漏洞
CVE-2016-2463	2016.06.07	嚴(yán)重	遠程攻擊	Android Mediaserver組件遠程代碼執(zhí)行漏洞
CVE-2015-1532	2015.01.27	高	遠程攻擊	Android 9patch 圖片解析堆溢出漏洞
CVE-2015-3849	2015.09.09	高	權(quán)限提升	Android Region組件權(quán)限提升漏洞
CVE-2015-6764	2015.12.01	高	遠程攻擊	Chrome JS V8引擎內(nèi)存訪問越界漏洞
CVE-2015-6771	2015.12.01	高	遠程攻擊	Chrome JS V8引擎內(nèi)存訪問越界漏洞
CVE-2016-0830	2016.03.01	高	遠程攻擊	Android Bluetooth組件遠程代碼執(zhí)行
CVE-2016-0826	2016.03.08	高	權(quán)限提升	Android Mediaserver組件權(quán)限提升漏洞
CVE-2016-1646	2016.03.24	高	遠程攻擊	Chrome JS V8引擎內(nèi)存越界讀漏洞
CVE-2016-0847	2016.04.07	高	權(quán)限提升	Android Telecom 組件權(quán)限提升漏洞
CVE-2016-2412	2016.04.07	高	權(quán)限提升	Android System_server組件權(quán)限提升漏洞
CVE-2016-2416	2016.04.07	高	信息泄露	Android Mediaserver組件信息泄露漏洞
CVE-2016-2439	2016.04.07	高	遠程攻擊	Android Bluetooth組件遠程代碼執(zhí)行
CVE-2016-2449	2016.05.04	高	權(quán)限提升	Android Mediaserver組件權(quán)限提升漏洞
CVE-2016-2495	2016.06.01	高	遠程攻擊	Android Mediaserver組件遠程拒絕服務(wù)
CVE-2016-2476	2016.06.07	高	權(quán)限提升	Android Mediaserver組件權(quán)限提升漏洞
CVE-2016-3744	2016.07.01	高	遠程攻擊	Android Bluetooth組件遠程代碼執(zhí)行
CVE-2016-3754	2016.07.01	高	遠程攻擊	Android Mediaserver組件遠程拒絕服務(wù)
CVE-2016-2426	2016.04.07	中	信息泄露	Android Framework 信息泄露漏洞
CVE-2016-1677	2016.05.25	中	信息泄露	Chrome JS V8引擎類型混淆漏洞
CVE-2016-2496	2016.06.07	中	權(quán)限提升	Android Framework UI組件權(quán)限提升漏洞
CVE-2016-3760	2016.07.01	中	權(quán)限提升	Android Bluetooth組件權(quán)限提升漏洞

表1 漏洞基本信息

第一章 整體安全性分析

一、整體安全檢測結(jié)果

本次報告我們共計統(tǒng)計了22萬樣本，涵蓋基于Android4.1 – Android 6.0系統(tǒng)的3000余種機型。從整體上看，國內(nèi)Android智能手機的安全狀況極不樂觀，絕大部分設(shè)備都存在系統(tǒng)漏洞。為了更加直觀的反應(yīng)國內(nèi)Android智能手機的整體安全狀況，我們制作了如下矩形樹圖，如圖1所示。在此圖中，我們以不同的手機型號作為分割點，針對每個型號的手機分析出了該型號的手機的平均漏洞數(shù)，以此來代表該型號手機整體的安全狀態(tài)，漏洞數(shù)從0個漏洞至21個漏洞均有存在，對應(yīng)圖中各色塊的顏色深淺，其中綠色代表相對安全，紅色則代表相對不安全。同時各機型的使用人數(shù)對應(yīng)圖中色塊的面積，使用人數(shù)越多，色塊的面積越大，在整個樣本中所占的比例越大。綜合上述兩個方面，以此較為合理的展現(xiàn)國內(nèi)Android智能手機整體的安全狀態(tài)。

圖1 樣本機型平均漏洞數(shù)

通過圖中我們可以看出，國內(nèi)手機市場整體處于極度危險的狀態(tài)，而使用量較多的機型中，平均每個機型的系統(tǒng)中存在的系統(tǒng)漏洞也都處于10個以上，而相對較安全一些的手機則使用量不多，因此也一定程度上造就了國內(nèi)針對安卓設(shè)備的各類木馬病毒攻擊紛繁不斷的情況。

在我們選取的25個漏洞中，有4個漏洞是2016年3月份之前的漏洞，其余是2016年3月到7月之間的漏洞，統(tǒng)計了不同月份的漏洞影響范圍。結(jié)果如圖2所示：

圖2 不同月份的漏洞影響范圍

從圖中可以看出，影響范圍最廣的是2016年3月份的漏洞。另外，我們還統(tǒng)計了25個漏洞中每個漏洞所影響的設(shè)備數(shù)量。統(tǒng)計結(jié)果如圖3所示：

              

圖3 每個漏洞影響設(shè)備數(shù)

從結(jié)果可以看出，25個漏洞中21個漏洞的影響范圍都很廣，影響設(shè)備數(shù)量在17萬之上。有4個漏洞的影響范圍比較小，這4個漏洞是與系統(tǒng)的藍牙及電話組件相關(guān)的，大部分OEM廠商會對這兩個組件做定制修改，會干擾漏洞檢測的結(jié)果。

二、按漏洞嚴(yán)重級別統(tǒng)計結(jié)果

在測試的22萬設(shè)備中，我們統(tǒng)計了不同危險等級的漏洞所影響的設(shè)備數(shù)量，結(jié)果如下圖4所示：

圖4 不同危險級別的漏洞的影響范圍

有197988臺設(shè)備存在嚴(yán)重級別的漏洞，有205149臺設(shè)備存在高危級別漏洞，有197988臺設(shè)備存在中危級別的漏洞。分別占設(shè)備總數(shù)的91.2%，94.5%，91.2%。

三、按漏洞類型統(tǒng)計結(jié)果

在22萬樣本設(shè)備中，我們按照漏洞的技術(shù)類型將漏洞劃分為三類，分別是遠程攻擊漏洞，提權(quán)漏洞，信息泄露漏洞。我們統(tǒng)計了這三種類型漏洞所影響的設(shè)備數(shù)量，統(tǒng)計結(jié)果如下圖5所示：

圖5 不同漏洞類型的漏洞影響范圍

有205149臺設(shè)備存在遠程攻擊類漏洞，有197988臺設(shè)備存在權(quán)限提升類漏洞，有197988臺設(shè)備存在信息泄露類漏洞。分別占設(shè)備總數(shù)的94.5%，91.2%，91.2%。

第二章漏洞分布特征

一、地域分布特征

在所有的樣本數(shù)據(jù)中，我們統(tǒng)計了用戶的地域分布，結(jié)果如下圖6所示。所有用戶共來自31個省市和直轄市，用戶來源最多的是廣東省，用戶來源最少的是西藏。

                                                     圖6 樣本的省份分布

由于每個省份的用戶基數(shù)不同，因此我們計算了每個省份的漏洞平均數(shù)。結(jié)果如下圖7所示：

圖7 各省份漏洞平均數(shù) 

從上圖可以看出，平均漏洞數(shù)最少的是北京和上海；平均漏洞數(shù)最多的是寧夏、河北等地。用熱力圖表示如圖8所示，可以更好的看出平均漏洞數(shù)的地域分布特征。

圖8漏洞數(shù)量的地域分布特征

二、性別分布特征

在統(tǒng)計的22萬設(shè)備中，我們進一步統(tǒng)計了男女性別情況。樣本統(tǒng)計結(jié)果顯示，樣本男女比例約為6.9:1。結(jié)果如下圖9所示：

圖9 樣本中男女性別比例

在性別樣本中，我們統(tǒng)計了不同性別用戶的手機版本號分布，統(tǒng)計結(jié)果如下圖10所示：

圖10 不同性別手機系統(tǒng)版本對比

在女性手機用戶中，Android6.0的占比約為10.43%；在男性手機用戶中，Android 6.0的占比約為6.48%。從圖中也可以明顯的看出，女性用戶的手機系統(tǒng)版本普遍高于男性用戶。

為了更直觀的體現(xiàn)性別與系統(tǒng)版本及手機漏洞數(shù)量三者之間的關(guān)系，我們計算了所取樣本的男女平均漏洞數(shù)量和平均SDK版本號，結(jié)果如下圖11所示：

圖11 性別與漏洞數(shù)量、版本號的關(guān)系

從圖中我們可以看出：女性用戶的手機系統(tǒng)版本普遍比男性高，女性用戶的手機漏洞數(shù)量普遍比男性用戶少。

三、手機root與漏洞數(shù)量的關(guān)系

手機root一般都會影響系統(tǒng)的OTA升級，所以我們統(tǒng)計了22萬設(shè)備的root情況。其中62225臺設(shè)備已經(jīng)被root，104181臺設(shè)備沒有root，其余設(shè)備root狀況未知。比例如圖12所示，

圖12 設(shè)備root比例

根據(jù)統(tǒng)計的root數(shù)據(jù)，我們計算了樣本中漏洞平均數(shù)與有無root權(quán)限的關(guān)系，結(jié)果如圖13所示，從圖中我們可以看出，漏洞數(shù)多的設(shè)備更有可能是可被root的設(shè)備。

圖13 root與漏洞數(shù)量的關(guān)系

四、手機發(fā)布時間與漏洞數(shù)量的關(guān)系

我們從樣本中選取了使用量最多的1000款手機，然后根據(jù)“中關(guān)村在線”(zol.com.cn)的數(shù)據(jù)，找到了其中約700款手機的數(shù)據(jù)，據(jù)此統(tǒng)計出了手機發(fā)布時間與漏洞數(shù)量的關(guān)系。結(jié)果如圖14所示：

圖14 手機發(fā)布時間與漏洞數(shù)量的關(guān)系

從圖中可以看出，從整體趨勢上看，發(fā)布時間越新的手機，漏洞數(shù)量會越少。但也存在一些特殊情況，比如2015年11月發(fā)布的手機的存在的漏洞比較多，這是因為一些OEM廠商不及時給手機系統(tǒng)打補丁導(dǎo)致的。

第三章 其他安全性分析

一、Android系統(tǒng)版本安全性分析

我們統(tǒng)計了樣本中Android系統(tǒng)版本的分布情況，結(jié)果如圖15所示，在所統(tǒng)計的樣本中，Android 4.4的占比最高，占比最低的是Android 4.3。Android 6.0的占比僅為7%。

圖15版本分布

我們統(tǒng)計了漏洞平均數(shù)與Android版本的關(guān)系，在樣本范圍內(nèi)，結(jié)果如圖16所示，

圖16 版本與漏洞數(shù)量的關(guān)系

從圖中可以看出受影響最大的是Android 4.3，受影響最小的是Android 6.0。系統(tǒng)版本越高，漏洞數(shù)量越少。

二、系統(tǒng)瀏覽器內(nèi)核安全性分析

瀏覽器內(nèi)核是指Android系統(tǒng)的webview組件的核心，在Android 4.4之前，Android系統(tǒng)的webview是基于webkit的，在Android 4.4之后系統(tǒng)webview的核心被換成了Chromium。我們統(tǒng)計了所有22萬設(shè)備的瀏覽器內(nèi)核版本，統(tǒng)計結(jié)果如圖17所示，

圖17 系統(tǒng)瀏覽器內(nèi)核版本分布

從圖中可以看出，瀏覽器內(nèi)核版本占比最高的是Chrome 33，占比為40%。目前Chrome的最高版本為53，在獲取的22萬樣本數(shù)據(jù)中，僅有38臺設(shè)備的Chrome版本為53。大部分設(shè)備的瀏覽器內(nèi)核版本存在更新滯后的問題。

在我們選取的25個漏洞中，包含4個Chrome漏洞。這類漏洞一般會影響Android系統(tǒng)webview組件的安全性，且多數(shù)漏洞可通過遠程方式利用，危害較大。我們統(tǒng)計了樣本中Chrome漏洞的分布情況，結(jié)果如圖18所示，其中91%的設(shè)備存在至少一個Chrome漏洞，74%的設(shè)備同時存在4個Chrome漏洞，僅有9%的設(shè)備不受這四個漏洞影響。

圖18 漏洞影響范圍

三、安全補丁程序級別與手機安全性的關(guān)系

在2015年Android stagefright漏洞爆發(fā)之后，Google在每個月的安全更新中加入了安全補丁程序級別(Android Security Patch Level)，用以表明當(dāng)前Android設(shè)備的最新的補丁時間，用戶可在手機的”設(shè)置-關(guān)于”選項中查看自己手機的安全補丁級別。

在統(tǒng)計的22萬樣本設(shè)備中，僅有64214臺設(shè)備可以獲取到安全補丁級別，僅占樣本總數(shù)的29.6%。我們進而統(tǒng)計了這64214臺設(shè)備的patch level分布情況，結(jié)果如圖19所示，占比最多的patch_level是2016-08-01，占比為41%。目前Android系統(tǒng)最新的patch_level是2016-09-01，在所有樣本中僅有297臺手機的patch_level是最新的。

 

圖19 樣本patch_level分布

為了驗證patch_level與漏洞數(shù)量的關(guān)系。我們統(tǒng)計了不同patch_level設(shè)備的漏洞數(shù)量，結(jié)果如圖20所示：

圖20 patch_level與漏洞數(shù)量的關(guān)系

從整體漏洞平均數(shù)來看，并不是patch_level越新，平均漏洞數(shù)就越少。從漏洞眾數(shù)（指大多數(shù)設(shè)備所存在的漏洞數(shù)）的角度看，也不能看出patch_level與漏洞數(shù)量的關(guān)系。從不同patch_level的最少漏洞數(shù)和最多漏洞數(shù)的角度看，patch_level越新，漏洞數(shù)量越少。造成這種現(xiàn)象主要有兩個方面因素，一是廠商隨意修改patch_level值，或者沒有完全打上所有的patch；二是因為受漏洞影響范圍所限，并不是越新的漏洞影響范圍會越廣，有些漏洞可能只影響最新的Android系統(tǒng)，對舊版本系統(tǒng)反而沒有影響。

為了更準(zhǔn)確的探究patch_level與漏洞數(shù)量的關(guān)系，我們從設(shè)備樣本中選取了樣本中占有率排名前16款的手機，并統(tǒng)計了這些機型在不同patch_level下的漏洞數(shù)量。結(jié)果如圖21所示：

圖21特定設(shè)備漏洞數(shù)量與patch_level的關(guān)系

橫坐標(biāo)是patch_level值，每個設(shè)備縱坐標(biāo)的高度代表該設(shè)備的在當(dāng)前patch_level時的漏洞平均數(shù)。從單個設(shè)備的patch_level與漏洞數(shù)量的關(guān)系看，大部分設(shè)備的漏洞數(shù)量是隨著patch_level的遞增而減少的。也會存在部分設(shè)備的異常情況，這跟我們選取的漏洞的特征是有關(guān)系的，有些較新的漏洞可能只會影響最新的系統(tǒng)，對舊版本系統(tǒng)反而不影響。

第四章 安全建議

經(jīng)過上述對Android系統(tǒng)漏洞的研究，我們可以看出仍然存在大量未升級至新版本系統(tǒng)和未打補丁的設(shè)備正在被使用，這些與安全更新脫節(jié)的現(xiàn)象直接導(dǎo)致用戶手機暴露于各種漏洞的威脅之下。而用戶幾乎每天都要直接或間接使用的瀏覽器組件，仍有90%多的設(shè)備存在一個或多個漏洞，這些漏洞直接將用戶每天的正常使用暴露于攻擊者的攻擊向量內(nèi)，嚴(yán)重威脅用戶的隱私、財產(chǎn)安全。

綜上，對于Android手機用戶，我們特此提出如下安全建議：

1)及時檢查并安裝最新的OTA更新，修復(fù)安全漏洞；

2)對于需要root權(quán)限的用戶，我們建議賦予相關(guān)安全軟件root權(quán)限，保障手機安全；

3)不要下載未知來源的應(yīng)用；

4)不要點擊陌生鏈接；

5)及時升級系統(tǒng)瀏覽器或使用最新版360手機瀏覽器；

6)盡量使用證書驗證的HTTPS通信或者其他加密信道，避免瀏覽器因中間人攻擊暴露于攻擊者的攻擊范圍內(nèi)。

智能手機操作系統(tǒng)的安全性直接影響了用戶網(wǎng)絡(luò)生活整體的安全性，為了盡可能保障用戶手機的安全，我們建議手機廠商：

1)延長手機產(chǎn)品的系統(tǒng)更新支持時限，避免出現(xiàn)手機系統(tǒng)老舊的情況；

2)及時推送OTA安全補丁，保障手機安全；

3)及時更新瀏覽器內(nèi)核，保障瀏覽器的安全性。