摘要

1.本次報告基于360手機衛(wèi)士的用戶，統(tǒng)計了22萬Android手機的漏洞情況。該報告通過分析中國大陸地區(qū)用戶Android系統(tǒng)手機存在的漏洞情況，以此進行Android系統(tǒng)漏洞的研究，進而為用戶的手機安全提供更加有效的服務(wù)與保障。

2.我們從最近一年的Android和Chrome安全公告中選取了25個漏洞作為測試的依據(jù)。這25個漏洞涵蓋了Android系統(tǒng)的各個層面，且都是與設(shè)備無關(guān)的通用漏洞。

3.在測試的22萬手機中，94.5%的手機存在安全漏洞，僅有5.5%的手機沒有安全漏洞。

4.在測試的22萬手機中，29.6%的手機標明了系統(tǒng)patch_level。所有樣本中，僅有297臺設(shè)備的patch_level能與Google官方保持同步。

5.在所選樣本中，Android版本占比最高的是Android 4.4，Android 6.0的占比僅為7%。我們統(tǒng)計了Android版本與漏洞數(shù)量的關(guān)系，從整體上看，Android版本越高，漏洞數(shù)量越少。

6.在我們選取的25個漏洞中，有4個是系統(tǒng)瀏覽器內(nèi)核漏洞，樣本中91%的手機存在瀏覽器內(nèi)核相關(guān)漏洞，74%的設(shè)備同時存在4個瀏覽器內(nèi)核漏洞。作為用戶與互聯(lián)網(wǎng)接觸的直接承載者，瀏覽器漏洞如此廣泛的存在會對用戶的手機安全形成巨大的威脅。

7.根據(jù)樣本統(tǒng)計結(jié)果，用戶手機的平均漏洞數(shù)量存在比較明顯的地域特征，北京、上海地區(qū)的用戶手機漏洞數(shù)量最低，用戶手機漏洞數(shù)最多的是寧夏、河北等地。

8.根據(jù)樣本統(tǒng)計結(jié)果，男性用戶的手機版本普遍比女性用戶的手機版本低，男性用戶的手機平均漏洞數(shù)量比女性用戶高。

9.我們統(tǒng)計了手機root與漏洞數(shù)量的關(guān)系，已經(jīng)被root的手機的漏洞平均數(shù)是20.3，未root手機的漏洞平均數(shù)是15.9。漏洞越多的手機，被root的可能性越大。

10.我們統(tǒng)計了手機發(fā)布時間與漏洞數(shù)量的關(guān)系，整體上看越是最新發(fā)布的手機，存在的漏洞越少;發(fā)布越早的手機，存在漏洞越多。

安全測評綜述

針對手機系統(tǒng)的安全性測試，我們從近期的Android和chrome安全公告中，選取了25個漏洞作為評判手機安全性的依據(jù)。這25個漏洞的基本信息如表1所示，包括漏洞對外公布的時間、漏洞的嚴重級別、漏洞類型和漏洞簡述。漏洞的嚴重級別有嚴重、高、中三個級別。漏洞的類型我們分了三類，包括遠程攻擊漏洞、權(quán)限提升漏洞和信息泄露漏洞。

表1 漏洞基本信息

第一章 整體安全性分析

一、整體安全檢測結(jié)果

本次報告我們共計統(tǒng)計了22萬樣本，涵蓋基于Android 4.1 – Android 6.0系統(tǒng)的3000余種機型。從整體上看，國內(nèi)Android智能手機的安全狀況極不樂觀，絕大部分設(shè)備都存在系統(tǒng)漏洞。為了更加直觀的反應(yīng)國內(nèi)Android智能手機的整體安全狀況，我們制作了如下矩形樹圖，如圖1所示。

圖1 樣本機型平均漏洞數(shù)

在此圖中，我們以不同的手機型號作為分割點，針對每個型號的手機分析出了該型號的手機的平均漏洞數(shù)，以此來代表該型號手機整體的安全狀態(tài)，漏洞數(shù)從0個漏洞至21個漏洞均有存在，對應(yīng)圖中各色塊的顏色深淺，其中綠色代表相對安全，紅色則代表相對不安全。同時各機型的使用人數(shù)對應(yīng)圖中色塊的面積，使用人數(shù)越多，色塊的面積越大，在整個樣本中所占的比例越大。綜合上述兩個方面，以此較為合理的展現(xiàn)國內(nèi)Android智能手機整體的安全狀態(tài)。

通過圖中我們可以看出，國內(nèi)手機市場整體處于極度危險的狀態(tài)，而使用量較多的機型中，平均每個機型的系統(tǒng)中存在的系統(tǒng)漏洞也都處于10個以上，而相對較安全一些的手機則使用量不多，因此也一定程度上造就了國內(nèi)針對安卓設(shè)備的各類木馬病毒攻擊紛繁不斷的情況。

在我們選取的25個漏洞中，有4個漏洞是2016年3月份之前的漏洞，其余是2016年3月到7月之間的漏洞，統(tǒng)計了不同月份的漏洞影響范圍。結(jié)果如圖2所示：

圖2 不同月份的漏洞影響范圍

從圖中可以看出，影響范圍最廣的是2016年3月份的漏洞。另外，我們還統(tǒng)計了25個漏洞中每個漏洞所影響的設(shè)備數(shù)量。統(tǒng)計結(jié)果如圖3所示：

圖3 每個漏洞影響設(shè)備數(shù)

從結(jié)果可以看出，25個漏洞中21個漏洞的影響范圍都很廣，影響設(shè)備數(shù)量在17萬之上。有4個漏洞的影響范圍比較小，這4個漏洞是與系統(tǒng)的藍牙及電話組件相關(guān)的，大部分OEM廠商會對這兩個組件做定制修改，會干擾漏洞檢測的結(jié)果。

二、按漏洞嚴重級別統(tǒng)計結(jié)果

在測試的22萬設(shè)備中，我們統(tǒng)計了不同危險等級的漏洞所影響的設(shè)備數(shù)量，結(jié)果如下圖4所示：

圖4 不同危險級別的漏洞的影響范圍

有197988臺設(shè)備存在嚴重級別的漏洞，有205149臺設(shè)備存在高危級別漏洞，有197988臺設(shè)備存在中危級別的漏洞。分別占設(shè)備總數(shù)的91.2%，94.5%，91.2%。

三、按漏洞類型統(tǒng)計結(jié)果

在22萬樣本設(shè)備中，我們按照漏洞的技術(shù)類型將漏洞劃分為三類，分別是遠程攻擊漏洞，提權(quán)漏洞，信息泄露漏洞。我們統(tǒng)計了這三種類型漏洞所影響的設(shè)備數(shù)量，統(tǒng)計結(jié)果如下圖5所示

圖5 不同漏洞類型的漏洞影響范圍

有205149臺設(shè)備存在遠程攻擊類漏洞，有197988臺設(shè)備存在權(quán)限提升類漏洞，有197988臺設(shè)備存在信息泄露類漏洞。分別占設(shè)備總數(shù)的94.5%，91.2%，91.2%。

第二章 漏洞分布特征

一、地域分布特征

在所有的樣本數(shù)據(jù)中，我們統(tǒng)計了用戶的地域分布，結(jié)果如下圖6所示。所有用戶共來自31個省市和直轄市，用戶來源最多的是廣東省，用戶來源最少的是西藏。

圖6 樣本的省份分布

由于每個省份的用戶基數(shù)不同，因此我們計算了每個省份的漏洞平均數(shù)。結(jié)果如下圖7所示：

圖7 各省份漏洞平均數(shù)

從上圖可以看出，平均漏洞數(shù)最少的是北京和上海;平均漏洞數(shù)最多的是寧夏、河北等地。用熱力圖表示如圖8所示，可以更好的看出平均漏洞數(shù)的地域分布特征。

圖8 漏洞數(shù)量的地域分布特征

二、性別分布特征

在統(tǒng)計的22萬設(shè)備中，我們進一步統(tǒng)計了男女性別情況。樣本統(tǒng)計結(jié)果顯示，樣本男女比例約為6.9:1。結(jié)果如下圖9所示：

圖9 樣本中男女性別比例

在性別樣本中，我們統(tǒng)計了不同性別用戶的手機版本號分布，統(tǒng)計結(jié)果如下圖10所示：

圖10 不同性別手機系統(tǒng)版本對比

在女性手機用戶中，Android 6.0的占比約為10.43%;在男性手機用戶中，Android 6.0的占比約為6.48%。從圖中也可以明顯的看出，女性用戶的手機系統(tǒng)版本普遍高于男性用戶。

為了更直觀的體現(xiàn)性別與系統(tǒng)版本及手機漏洞數(shù)量三者之間的關(guān)系，我們計算了所取樣本的男女平均漏洞數(shù)量和平均SDK版本號，結(jié)果如下圖11所示：

圖11 性別與漏洞數(shù)量、版本號的關(guān)系

從圖中我們可以看出：女性用戶的手機系統(tǒng)版本普遍比男性高，女性用戶的手機漏洞數(shù)量普遍比男性用戶少。

三、手機root與漏洞數(shù)量的關(guān)系

手機root一般都會影響系統(tǒng)的OTA升級，所以我們統(tǒng)計了22萬設(shè)備的root情況。其中62225臺設(shè)備已經(jīng)被root，104181臺設(shè)備沒有root，其余設(shè)備root狀況未知。比例如圖12所示：

圖12 設(shè)備root比例

根據(jù)統(tǒng)計的root數(shù)據(jù)，我們計算了樣本中漏洞平均數(shù)與有無root權(quán)限的關(guān)系，結(jié)果如圖13所示，從圖中我們可以看出，漏洞數(shù)多的設(shè)備更有可能是可被root的設(shè)備。

圖13 root與漏洞數(shù)量的關(guān)系

四、手機發(fā)布時間與漏洞數(shù)量的關(guān)系

我們從樣本中選取了使用量最多的1000款手機，然后根據(jù)“中關(guān)村在線”(zol.com.cn)的數(shù)據(jù)，找到了其中約700款手機的數(shù)據(jù)，據(jù)此統(tǒng)計出了手機發(fā)布時間與漏洞數(shù)量的關(guān)系。結(jié)果如圖14所示：

圖14 手機發(fā)布時間與漏洞數(shù)量的關(guān)系

從圖中可以看出，從整體趨勢上看，發(fā)布時間越新的手機，漏洞數(shù)量會越少。但也存在一些特殊情況，比如2015年11月發(fā)布的手機的存在的漏洞比較多，這是因為一些OEM廠商不及時給手機系統(tǒng)打補丁導致的。

第三章 其他安全性分析

一、Android系統(tǒng)版本安全性分析

我們統(tǒng)計了樣本中Android系統(tǒng)版本的分布情況，結(jié)果如圖15所示，在所統(tǒng)計的樣本中，Android 4.4的占比最高，占比最低的是Android 4.3。Android 6.0的占比僅為7%。

圖15 Android版本分布

我們統(tǒng)計了漏洞平均數(shù)與Android版本的關(guān)系，在樣本范圍內(nèi)，結(jié)果如圖16所示：

圖16 Android版本與漏洞數(shù)量的關(guān)系

從圖中可以看出受影響最大的是Android 4.3，受影響最小的是Android 6.0。系統(tǒng)版本越高，漏洞數(shù)量越少。

二、系統(tǒng)瀏覽器內(nèi)核安全性分析

瀏覽器內(nèi)核是指Android系統(tǒng)的webview組件的核心，在Android 4.4之前，Android系統(tǒng)的webview是基于webkit的，在Android 4.4之后系統(tǒng)webview的核心被換成了Chromium。我們統(tǒng)計了所有22萬設(shè)備的瀏覽器內(nèi)核版本，統(tǒng)計結(jié)果如圖17所示：

圖17 系統(tǒng)瀏覽器內(nèi)核版本分布

從圖中可以看出，瀏覽器內(nèi)核版本占比最高的是Chrome 33，占比為40%。目前Chrome的最高版本為53，在獲取的22萬樣本數(shù)據(jù)中，僅有38臺設(shè)備的Chrome版本為53。大部分設(shè)備的瀏覽器內(nèi)核版本存在更新滯后的問題。

在我們選取的25個漏洞中，包含4個Chrome漏洞。這類漏洞一般會影響Android系統(tǒng)webview組件的安全性，且多數(shù)漏洞可通過遠程方式利用，危害較大。我們統(tǒng)計了樣本中Chrome漏洞的分布情況，結(jié)果如圖18所示，其中91%的設(shè)備存在至少一個Chrome漏洞，74%的設(shè)備同時存在4個Chrome漏洞，僅有9%的設(shè)備不受這四個漏洞影響。

圖18 chrome漏洞影響范圍

三、安全補丁程序級別與手機安全性的關(guān)系

在2015年Android stagefright漏洞爆發(fā)之后，Google在每個月的安全更新中加入了安全補丁程序級別(Android Security Patch Level)，用以表明當前Android設(shè)備的最新的補丁時間，用戶可在手機的”設(shè)置-關(guān)于”選項中查看自己手機的安全補丁級別。

在統(tǒng)計的22萬樣本設(shè)備中，僅有64214臺設(shè)備可以獲取到安全補丁級別，僅占樣本總數(shù)的29.6%。我們進而統(tǒng)計了這64214臺設(shè)備的patch level分布情況，結(jié)果如圖19所示，占比最多的patch_level是2016-08-01，占比為41%。目前Android系統(tǒng)最新的patch_level是2016-09-01，在所有樣本中僅有297臺手機的patch_level是最新的。

圖19 樣本patch_level分布

為了驗證patch_level與漏洞數(shù)量的關(guān)系。我們統(tǒng)計了不同patch_level設(shè)備的漏洞數(shù)量，結(jié)果如圖20所示:

圖20 patch_level與漏洞數(shù)量的關(guān)系

從整體漏洞平均數(shù)來看，并不是patch_level越新，平均漏洞數(shù)就越少。從漏洞眾數(shù)(指大多數(shù)設(shè)備所存在的漏洞數(shù))的角度看，也不能看出patch_level與漏洞數(shù)量的關(guān)系。從不同patch_level的最少漏洞數(shù)和最多漏洞數(shù)的角度看，patch_level越新，漏洞數(shù)量越少。造成這種現(xiàn)象主要有兩個方面因素，一是廠商隨意修改patch_level值，或者沒有完全打上所有的patch;二是因為受漏洞影響范圍所限，并不是越新的漏洞影響范圍會越廣，有些漏洞可能只影響最新的Android系統(tǒng)，對舊版本系統(tǒng)反而沒有影響。

為了更準確的探究patch_level與漏洞數(shù)量的關(guān)系，我們從設(shè)備樣本中選取了樣本中占有率排名前16款的手機，并統(tǒng)計了這些機型在不同patch_level下的漏洞數(shù)量。結(jié)果如圖21所示：

圖21 特定設(shè)備漏洞數(shù)量與patch_level的關(guān)系

橫坐標是patch_level值，每個設(shè)備縱坐標的高度代表該設(shè)備的在當前patch_level時的漏洞平均數(shù)。從單個設(shè)備的patch_level與漏洞數(shù)量的關(guān)系看，大部分設(shè)備的漏洞數(shù)量是隨著patch_level的遞增而減少的。也會存在部分設(shè)備的異常情況，這跟我們選取的漏洞的特征是有關(guān)系的，有些較新的漏洞可能只會影響最新的系統(tǒng)，對舊版本系統(tǒng)反而不影響。

第四章 安全建議

經(jīng)過上述對Android系統(tǒng)漏洞的研究，我們可以看出仍然存在大量未升級至新版本系統(tǒng)和未打補丁的設(shè)備正在被使用，這些與安全更新脫節(jié)的現(xiàn)象直接導致用戶手機暴露于各種漏洞的威脅之下。而用戶幾乎每天都要直接或間接使用的瀏覽器組件，仍有90%多的設(shè)備存在一個或多個漏洞，這些漏洞直接將用戶每天的正常使用暴露于攻擊者的攻擊向量內(nèi)，嚴重威脅用戶的隱私、財產(chǎn)安全。

綜上，對于Android手機用戶，我們特此提出如下安全建議：

1) 及時檢查并安裝最新的OTA更新，修復(fù)安全漏洞;

2) 對于需要root權(quán)限的用戶，我們建議賦予相關(guān)安全軟件root權(quán)限，保障手機安全;

3) 不要下載未知來源的應(yīng)用;

4) 不要點擊陌生鏈接;

5) 及時升級系統(tǒng)瀏覽器或使用最新版360手機瀏覽器;

6) 盡量使用證書驗證的HTTPS通信或者其他加密信道，避免瀏覽器因中間人攻擊暴露于攻擊者的攻擊范圍內(nèi)。

智能手機操作系統(tǒng)的安全性直接影響了用戶網(wǎng)絡(luò)生活整體的安全性，為了盡可能保障用戶手機的安全，我們建議手機廠商：

1) 延長手機產(chǎn)品的系統(tǒng)更新支持時限，避免出現(xiàn)手機系統(tǒng)老舊的情況;

2) 及時推送OTA安全補丁，保障手機安全;

3) 及時更新瀏覽器內(nèi)核，保障瀏覽器的安全性。

【本文是51CTO專欄作者李少鵬的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】