3602018年度安卓系统安全性生态环境研究网络安全201912526页

2018年度安卓系统安全性生态环境研究2019年1月25日摘要此报告数据来源为“360透视镜”（360团队发布的一款专业检测手机安全漏洞的APP,）用户主动上传的84万份漏洞检测报告，检测内容包括最近两年的Android和Chrome安全公告中检出率最高的89个漏洞，涵盖了Android系统的各个层面。检测结果显示，截止至2019年1月，所测设备中99.99%的Android手机存在安全漏洞，仅有0.01%的设备完全没有检测出漏洞，同比2017年，手机安全程度呈下降趋势。Android版本占比最高的3个版本分别为Android6.0、Android5.1和Android7.1，比例分别为40%、25%和14%。与上半年相比，用户整体的版本的更新有所推进，低版本系统5.1和4.4数量不断减少，Android8.0和8.1数量持续在提升，最新的Android9.0版本占比也达到了0.2%左右。从漏洞分布上看，Android版本高低和漏洞数量多少并没有严格的线性关系，由于Google目前只对7.0及以上系统提供安全更新，所以在高版本系统（7.0及以上版本）上，漏洞数量明显减少。用户手机的平均漏洞数量存在比较明显的地域特征，北京、广东等地区的用户手机平均漏洞数量最少，黑龙江、吉林、青海等地区的用户手机漏洞数量相对较多，这一数据的顺序较上半年略有变化。不同性别的用户平均系统版本较上一季度均有所提升，男性用户的手机平均系统版本高于女性用户，女性用户的手机平均漏洞数量高于男性用户。其中99.1%的设备存在浏览器内核相关漏洞，浏览器内核漏洞最多的设备同时存在5个漏洞，有近半数的设备浏览器内核漏洞数达到3个以上，仅有0.9%的设备不受浏览器内核漏洞影响。安卓手机用户中，约有46.7%的用户会保持手机系统（特指安全补丁等级）版本与厂商所提供的最新版本保持一致，约有10.7%的用户的手机系统版本会滞后厂商最新版本1到3个月，接近6.1%的用户会滞后4到6个月，其余用户会滞后半年以上。与安卓官方最新更新情况相比，滞后一年以上的手机占52%，与安卓官方保持同步的手机仅占1%。由此可见，用户手机因未能及时更新而存在安全漏洞的重要原因之一，就是手机厂商普遍未能实现其定制开发的安卓系统与Google官方同步更新，而且滞后性比较明显。关键词：安卓安全、安卓漏洞、漏洞检测目录研究背景...........................................................................................................................................1第一章手机系统安全性综述........................................................................................................1一、系统漏洞的危险等级........................................................................................................1二、系统漏洞的危害方式........................................................................................................1三、系统浏览器内核的安全性.................................................................................................3四、系统漏洞的数量分布........................................................................................................5五、手机安全生态宏观描述.....................................................................................................6第二章手机系统版本安全性........................................................................................................8一、各系统版本漏洞情况........................................................................................................8二、安卓系统漏洞缓解措施.....................................................................................................9第三章手机系统安全性地域分布...............................................................................................11第四章手机系统安全性与用户性别的相关性............................................................................13第五章手机系统安全漏洞的修复...............................................................................................15一、厂商漏洞修复情况..........................................................................................................15二、用户主动升级意愿..........................................................................................................15三、漏洞修复综合分析..........................................................................................................17第六章新品手机安全更新情况...................................................................................................19附录.................................................................................................................................................201研究背景在中国，Android系统作为智能手机中市场占有率最高的移动操作系统，承载着亿万手机用户的生产生活，大量的Android开发人员为其添砖加瓦。但树大招风，Android智能手机也暴露在各种恶意软件、系统漏洞的威胁之中，无数恶意软件、电信诈骗不断挑战用户的安全意识，但各种隐藏在系统之中的系统漏洞对用户的手机安全影响更为可怕。由于Android操作系统目前仍未有非常完善的补丁机制为其修补系统漏洞，再加上Android系统碎片化严重，各手机厂商若要为采用Android系统的各种设备修复安全问题则需投入大量人力物力。随着各种系统漏洞的不断披露，现存的Android智能手机就像一艘漏水的船，纵然手机安全软件能够缓解一些安全隐患，但系统中的漏洞仍未能有效修补，攻击大门依旧打开。而Android平台之上的安全软件又无法被授予系统的最高权限，因而Android系统安全问题一直非常棘手。为了让消费者了解到自己手机的安全性，360历时一年打造了中国第一个Android平台的手机漏洞检测工具“360透视镜”（），并向社会公开，任何用户和个人都可下载安装。“360透视镜”应用依据Android官方提供的安全补丁更新通知作为漏洞信息来源，在Android系统上实现了无需申请敏感权限即可检测Android系统中存在的漏洞这一核心功能，降低了用户了解自己手机安全状况的限制门槛。此报告基于“360透视镜”应用用户主动上传的84万份漏洞检测报告，检测内容包括近两年（最新漏洞检测更新至2018年12月）Android与Chrome安全公告中检出率最高的89个漏洞，涵盖了Android系统的各个层面，且都与具体设备的硬件无关。我们统计并研究了样本中的漏洞测试结果数据，并对安全状况予以客观具体的量化，希望引起用户和厂商对于手机系统漏洞的关注与重视，为Android智能手机用户的安全保驾护航，并希望以此来推进国内Android智能手机生态环境的安全、健康地发展。1第一章手机系统安全性综述一、系统漏洞的危险等级此次报告评测的89个系统漏洞，按照Google官方对系统漏洞的危险评级标准，按照危险等级递减的排序规则，共分为严重、高危、中危三个级别。“严重”级别的漏洞对系统的安全性影响最大，其次为“高危”级别漏洞，然后为“中危”级别漏洞，“低危”级别漏洞未入选。在这89个漏洞中，按照其危险等级分类，有严重级别漏洞13个，高危级别漏洞56个，中危级别漏洞20个。其中高危以上漏洞对用户影响较大，在此次安全评测中对此类漏洞的选取比例达77.5%。此次系统安全分析结果显示：93%的Android设备受到中危级别漏洞的危害，99.9%的Android设备存在高危漏洞，60.5%的Android设备受到严重级别的漏洞影响。二、系统漏洞的危害方式此次报告评测的89个系统漏洞，参照Google官方对系统漏洞的技术类型分类标准并加以适当合并，按照各漏洞的明显特征分类，共分为远程攻击、权限提升、信息泄漏三个类别。远程攻击漏洞是指攻击者可以通过网络连接对用户的系统进行远程攻击的漏洞，权限提升是指攻击者可以将自身所拥有的权限得以提升的漏洞，信息泄漏则为可以获得系统或用户敏感信息的漏洞。在这89个漏洞中，按照其危害方式分类，包括远程攻击漏洞38个，权限提升漏洞33个，信息泄漏漏洞18个。此次系统安全分析结果显示：99.8%的设备存在远程攻击漏洞，89.7%的设备存在权限提升漏洞，95.6%的设备存在信息泄漏漏洞。与上半年检测结果相比，信息泄漏漏洞占比增加，导致信息泄漏漏洞影响的设备比例增加比较明显；权限提升类漏洞影响设备占比有所降2低，远程攻击类漏洞影响设备占比一直居高不下。为了观察不同类别的漏洞中哪些影响的设备比例最多，我们分别对三种类别的漏洞进行统计排序，挑选出了各类别中影响设备比例占比前三名的漏洞，其中影响最广泛的漏洞为权限提升漏洞CVE-2018-9467，89.1%的设备都存在这个漏洞，该漏洞影响范围如此广泛主要是因为该漏洞影响Android版本范围是4.4到9.0；信息泄漏漏洞中，CVE-2018-9349已经跌到第三位，仅影响58.9%的设备，取而代之的是CVE-2018-9421，影响73.9%的设备；远程攻击漏洞中，CVE-2015-7555被CVE-2018-9491取代成为影响设备最多的远程攻击漏洞，影响57.