360安全：2019年上半年度安卓系統安全性生態環境研究(25頁)(25頁).pdf

《360安全：2019年上半年度安卓系統安全性生態環境研究(25頁)(25頁).pdf》由會員分享，可在線閱讀，更多相關《360安全：2019年上半年度安卓系統安全性生態環境研究(25頁)(25頁).pdf（25頁珍藏版）》請在三個皮匠報告上搜索。

1、 2019 年上半年度 安卓系統安全性生態環境 研究 2019 年 8 月 13 日 摘 要 此報告數據來源為 “360 透視鏡” （360 團隊發布的一款專業檢測手機安全漏洞的 APP, 62 萬份漏洞檢測報告，檢測內容包 括最近兩年的 Android 和 Chrome 安全公告中檢出率最高的 104 個漏洞， 涵蓋了 Android 系統的各個層面。 檢測結果顯示， 截止至 2019 年 8 月， 所測設備中 99.97%的 Android 手機存在安全漏洞， 僅有 0.03%的設備完全沒有檢測出漏洞，同比 2018 年，手機安全程度呈上升趨勢。 Android 版本占比最高的 3 個版本

2、分別為 Android 6.0、Android 5.1 和 Android 7.1，比 例分別為 37%、23%和 19%。與 2018 年相比，用戶整體的版本更新有所推進，低版本 系統 5.1 和 4.4 數量不斷減少，Android 8.0 和 8.1 數量持續在上升，最新的 Android 9.0 版本占比也達到了 2%。從漏洞分布上看，Android 版本高低和漏洞數量多少并沒有嚴 格的線性關系，由于 Google 目前只對 7.0 及以上系統提供安全更新，所以在高版本系 統（7.0 及以上版本）上，漏洞數量明顯減少。 用戶手機的平均漏洞數量存在比較明顯的地域特征，安徽、北京、上海等地

3、區的用戶手 機平均漏洞數量最少，黑龍江、寧夏、西藏等地區的用戶手機漏洞數量相對較多。大致 上，經濟越發達的地區，用戶所使用的手機的平均漏洞數量越少，手機安全程度相對越 高。 不同性別的用戶平均系統版本較 2018 年均有所提升，同時不同性別的用戶漏洞平均漏 洞數量也有所下降。 女性用戶的手機系統版本提升幅度高于男性用戶， 男性用戶的手機 平均漏洞數量略高于女性用戶。 其中 99.4%的設備存在瀏覽器內核相關漏洞， 瀏覽器內核漏洞最多的設備同時存在 7 個 漏洞，有半數以上的設備瀏覽器內核漏洞數達到 3 個以上，僅有 0.6%的設備不受瀏覽 器內核漏洞影響。 安卓手機用戶中，約有 45.2%的用

4、戶會保持手機系統（特指安全補丁等級）版本與廠商 所提供的最新版本保持一致，約有 11.7%的用戶的手機系統版本會滯后廠商最新版本 1 到 3 個月，接近 5.9%的用戶會滯后 4 到 6 個月，其余用戶會滯后半年以上。 與安卓官方最新更新情況相比，與安卓官方更新保持同步的手機僅占 2.8%，滯后一年 以上的手機占 63.5%。 由此可見，用戶手機因未能及時更新而存在安全漏洞的重要原 因之一， 就是手機廠商定制開發的安卓系統普遍未能與 Google 官方同步更新， 而且滯 后性比較明顯。 關鍵詞：關鍵詞：安卓安全、安卓漏洞、漏洞檢測 目 錄 研究背景 . 1 第一章 手機系統安全性綜述 . 1

5、一、 系統漏洞的危險等級 . 1 二、 系統漏洞的危害方式 . 1 三、 系統瀏覽器內核的安全性 . 3 四、 系統漏洞的數量分布 . 5 五、 手機安全生態宏觀描述 . 6 第二章 手機系統版本安全性 . 8 一、 各系統版本漏洞情況 . 8 二、 安卓系統漏洞緩解措施 . 9 第三章 手機系統安全性地域分布 . 11 第四章 手機系統安全性與用戶性別的相關性 . 13 第五章 手機系統安全漏洞的修復 . 15 一、 廠商漏洞修復情況 . 15 二、 用戶主動升級意愿 . 15 三、 漏洞修復綜合分析 . 17 第六章 新品手機安全更新情況 . 18 附錄 . 19 1 研究背景 在中國，A

6、ndroid 系統作為智能手機中市場占有率最高的移動操作系統，承載著億萬手 機用戶的生產生活，大量的 Android 開發人員為其添磚加瓦。但樹大招風，Android 智能手 機也暴露在各種惡意軟件、系統漏洞的威脅之中，無數惡意軟件、電信詐騙不斷挑戰用戶的 安全意識，但各種隱藏在系統之中的系統漏洞對用戶的手機安全影響更為可怕。 由于 Android 操作系統目前仍未有非常完善的補丁機制為其修補系統漏洞，再加上 Android 系統碎片化嚴重， 各手機廠商若要為基于 Android 系統的各種設備修復安全問題則 需投入大量人力物力。 隨著各種系統漏洞不斷被披露， 現存的 Android 智能手機

7、就像一艘漏水的船， 縱然手機 安全軟件能夠緩解一些安全隱患，但系統中的漏洞仍未被有效修補，攻擊大門依舊打開。而 Android 手機中的第三方安全軟件又無法被授予系統的最高權限，因而 Android 系統安全問 題一直非常棘手。 為了讓消費者了解到自己手機的安全性，360 歷時兩年打造了中國第一個 Android 平臺 的手機漏洞檢測工具“360 透視鏡”（ ，并向社會公開， 任何用戶和個人都可下載安裝。 “360 透視鏡”應用依據 Android 官方提供的安全補丁更新 通知作為漏洞信息來源，在 Android 系統中實現了無需申請敏感權限即可檢測 Android 系統 中是否存在漏洞這一核

8、心功能，降低了用戶了解自己手機安全狀況的限制門檻。 此報告基于“360 透視鏡”應用用戶主動上傳的 62 萬份漏洞檢測報告，檢測內容包括 近兩年（最新漏洞檢測更新至 2019 年 6 月）Android 與 Chrome 安全公告中檢出率最高的 104 個漏洞，涵蓋了 Android 系統的各個層面，且都與具體設備的硬件無關。我們統計并研 究了樣本中的漏洞測試結果數據， 并對安全狀況予以客觀具體的量化， 希望引起用戶和廠商 對于手機系統漏洞的關注與重視， 為 Android 智能手機用戶的安全保駕護航， 并希望以此來 推進國內 Android 智能手機生態環境的安全、健康地發展。 1 第一章

9、手機系統安全性綜述 一、 系統漏洞的危險等級 此次報告評測的 104 個系統漏洞，按照 Google 官方對系統漏洞的危險評級標準，按照 危險等級遞減的排序規則，共分為嚴重、高危、中危三個級別。 “嚴重”級別的漏洞對系統 的安全性影響最大，其次為“高?！奔墑e漏洞，然后為“中?！奔墑e漏洞， “低?！奔墑e漏洞未 入選。 在這 104 個漏洞中，按照其危險等級分類，有嚴重級別漏洞 15 個，高危級別漏洞 68 個，中危級別漏洞 21 個。其中高危以上漏洞對用戶影響較大，在此次安全評測中對此類漏 洞的選取比例達 79.8%。 此次系統安全分析結果顯示： 90.6%的 Android 設備受到中危級別漏

10、洞的危害，99.9% 的 Android 設備存在高危漏洞，47.4%的 Android 設備受到嚴重級別的漏洞影響。 二、 系統漏洞的危害方式 在本次評測中，本報告參照了 Google 官方對系統漏洞的技術類型分類標準并加以適當 合并，將 104 個系統漏洞按照各漏洞的特征分類，共分為遠程攻擊、權限提升、信息泄漏三 個類別。 遠程攻擊漏洞是指攻擊者可以通過網絡連接對用戶的系統進行遠程攻擊的漏洞， 權 限提升是指攻擊者可以將自身所擁有的權限得以提升的漏洞， 信息泄漏則為可以獲得系統或 用戶敏感信息的漏洞。 在這 104 個漏洞中，按照其危害方式分類，包括遠程攻擊漏洞 42 個，權限提升漏洞 4

11、2 個，信息泄漏漏洞 20 個。 此次系統安全分析結果顯示：99.9%的設備存在遠程攻擊漏洞，98.7%的設備存在權限 提升漏洞，93.2%的設備存在信息泄漏漏洞。與 2018 年檢測結果相比，權限提升漏洞占比 增加， 導致權限提升漏洞影響的設備比例增加比較明顯； 信息泄漏漏洞影響設備占比有所降 2 低，遠程攻擊類漏洞影響設備占比一直居高不下。 為了觀察不同類別的漏洞中哪些影響的設備比例最多， 我們分別對三種類別的漏洞進行 統計排序， 挑選出了各類別中影響設備比例占比前三名的漏洞， 其中影響最廣泛的漏洞為信 息泄漏漏洞 CVE-2018-9548，85.3%的設備都存在這個漏洞，2018 年影

12、響最廣的信息泄漏漏 洞 CVE-2018-9421 的影響范圍由 73.9%跌落到 57.2%；權限提升漏洞中，CVE-2018-9467 的 影響范圍有所降低，但依然是影響范圍最廣的權限提升漏洞；CVE-2018-9491 依然為影響范 圍最廣的遠程攻擊漏洞，影響 58.7%的設備。 三種類型漏洞中，影響設備數量排名第一的只有信息泄漏漏洞 CVE-2018-9548 是新加 入的漏洞，這說明歷史漏洞的影響范圍依然十分龐大。比如 CVE-2015-7555 和 CVE-2016-0826，這兩個漏洞分別是 Google 在 2017 年 5 月和 2015 年 12 月安全公告中公開 的漏洞，

13、目前依然影響 38.1%和 33.9%的設備。對比 2018 年的數據可以發現，歷史漏洞的 影響比例整體有所下降，但新舊漏洞如同波浪一般，層出不窮并且形勢依然嚴峻。 3 遠程攻擊漏洞是危險等級高、被利用風險最大的漏洞，也是我們最關注的漏洞，為此我 們從 2016 年第四季度開始，跟蹤了四個比較重要的遠程攻擊漏洞的影響變化趨勢，如下圖 所示。 整體趨勢上看，隨著時間的推移，這四個遠程攻擊漏洞的影響力在不斷減小，但是截至 2019 年二季度，這四個漏洞依然影響近 30%的用戶手機安全。但是隨著新的遠程攻擊漏洞 的加入，受遠程攻擊漏洞影響的設備比例會更高，安全形勢不容樂觀。 三、 系統瀏覽器內核的安

14、全性 系統瀏覽器內核是用戶每日使用手機時接觸最多的系統組件，不僅僅是指用戶瀏覽網 頁的獨立瀏覽器，實際上，許多安卓應用開發者考慮到開發速度、保障不同設備之間的統一 性等因素，會使用系統提供的瀏覽器內核組件。因而用戶在每日的手機使用中，大多會直接 或間接地調用系統瀏覽器內核。 在此次評測中，系統瀏覽器內核是指 Android 系統的 Webview 組件的核心，在 Android 4.4之前， Android系統的Webview是基于Webkit的， 在Android 4.4及以后的系統中， Webview 的核心被換成了 Chromium(Chrome 的開源版本，可近似理解為 Chrome)

15、。 在最新統計的樣本中，Webkit 所占比重幾乎為 0，與 2017 年度相似，說明 4.3 及以下 系統手機已經淡出歷史舞臺。 截止至本季度， 當前 Google 發布的 Android 平臺 Chrome 穩定 版的內核的最新版本為 Chrome 76，而在此次檢測中有約 0.03%的用戶將自己手機中的瀏覽 器內核升級至最新，這一數據較 2018 年有所下降。而從圖中可以看出，Chrome 內核版本大 于 55 的設備占 34%， 較 2018 年的 25%提升 9%。 總體來說， 瀏覽器內核整體版本有所更新， 國內安卓系統生態圈中對瀏覽器內核的安全程度相對有所增強。 4 為了研究不同瀏

16、覽器內核版本的安全性， 我們統計了不同版本的瀏覽器內核的平均漏洞 個數。下圖顯示了不同 Chrome 版本平均漏洞數量，相對 2018 年的數據，Chrome 57 版本及 以下的設備平均漏洞數量幾乎沒有變化。Chrome 57 版本以上的設備漏洞數量有所增加，這 主要是因為本次新加的一些瀏覽器內核漏洞只影響高版本 Chrome 導致的。 同時， 2018 年度 未檢測出漏洞的 Chrome 71 及以上版本在今天也檢測出了存在 0.7 個漏洞，瀏覽器漏洞也是 在不斷出現并威脅著用戶手機的安全。從 Chrome 57 開始，平均漏洞個數逐漸增多，到 Chrome 63 達到一個峰值，之后又逐漸

17、減小，這主要是因為新出現的漏洞讓高版本瀏覽器的 漏洞數量有所增加， 但整體趨勢上還是可以看出， 保持最新版本的瀏覽器內核可以有效增強 手機瀏覽器的安全性。 在本次報告檢測的 104 個漏洞當中，有 15 個漏洞是瀏覽器內核漏洞，這些漏洞大多是 可以被遠程利用的，危險性極大。安卓系統瀏覽器內核漏洞的分布情況如下圖所示。其中 99.4%的設備存在至少一個瀏覽器內核漏洞，15.7%的設備同時存在 4 個瀏覽器內核漏洞， 漏洞數量最多的設備同時存在 7 個漏洞，但所占比例很小。僅有 0.6%的設備不受瀏覽器內 5 核漏洞影響。與 2018 年數據相比，存在瀏覽器內核漏洞的設備占比升高 0.3%，同時存

18、在 3 個瀏覽器內核漏洞設備所占比例大幅提高， 這說明新加入的瀏覽器內核漏洞影響范圍廣， 新 漏洞的出現瞬間挑戰了大量設備的安全性，用戶依然暴露在瀏覽器漏洞的威脅之中。 四、 系統漏洞的數量分布 為了研究用戶手機中漏洞數量的分布規律， 同時對用戶手機的安全等級做一個直觀的評 分，我們統計了所有樣本中手機存在漏洞個數的比例分布，結果如下圖所示。 在此次測試中， 我們檢測了 104 個已知漏洞， 有 99.97%的設備存在至少一個安全漏洞， 這一數據較 2018 年 99.99%的比例有所降低，漏洞最多的設備同時包含有 63 個安全漏洞。 存在 5 個、10 個、20 個及以上漏洞的比例均有所降低

19、，但依然保持較高的比例。 為了研究近兩年用戶手機中漏洞數量的變化， 同時反映用戶手機安全性的變化情況， 我 6 們總結了自 2016 年至今的漏洞數量比例分布及趨勢，結果如下圖所示。 可以發現，手機存在漏洞的比例整體居高不下，同時若增加檢測力度，用戶手機整體的 安全形勢將會表現的更加嚴峻。 如果手機廠商積極做好手機系統的安全補丁更新工作， 現行 手機系統的安全防護能力就會有明顯的提升。 雖然國內廠商在不斷地對安卓設備進行安全更 新，但是安全漏洞也層出不窮，存在漏洞的設備比重仍然居高不下。 五、 手機安全生態宏觀描述 為了研究用戶手機中漏洞數量的宏觀情況，我們統計了如下宏觀描繪圖。 其中， 各個

20、獨立的方塊都代表一款具體型號的安卓設備； 方塊面積表示該型號設備使用 人數的多少， 使用的人數越多則相應面積越大； 其顏色由綠色到紅色之間的漸變代表了該型 號設備的平均安全水平。 由圖中可以看出， 對于市場占有率高的產品其安全更新情況更加樂 7 觀一些。對比上一季度，新設備的安全補丁更新情況有了很大的進步，廠商對于手機系統安 全補丁的重視程度和投入有了明顯的改善， 多數國內主流廠商均有更新推送新設備的安全補 丁，一線廠商則將系統更新至與安卓官方同步（2019-06） ，但宏觀上看安全情況更加嚴峻， 主要原因是新設備所占比例相對較低，正在使用的設備絕大部分還是難以更新的老舊設備。 8 第二章 手

21、機系統版本安全性 一、 各系統版本漏洞情況 由于 Android 系統在升級時不可直接跨版本升級而廠商往往又不愿意為舊機型耗費人 力物力適配新系統，因而在一定程度上導致了 Android 系統版本的碎片化。 為了研究不同版本的安卓系統的安全性，我們統計了樣本手機所使用的安卓版本分布， 并進一步對這些不同的版本的漏洞數量進行了統計分析。 采用 Android 系統版本的分布情況如下圖所示，在此次樣本中，Android 系統占比最高 的3個版本分別為Android 6.0、 Android 5.1和Android 7.1， 比例分別達到37%、 23%和19%， Android 4.4 及以下版本

22、僅占 6%。Android 8.0 和 Android 8.1 的占比分別達到了 2%和 5%。 同時最新版的 Android 9.0 版本比例也占到了 2%。 與 2018 年相同，Android 系統版本占比 Top3 的排名沒有發生變化，Android 6.0 依舊為 最流行的系統版本，但是 Android 6.0、Android 5.1 所占比例都有所下降，Android 7.1 所占 比例有明顯提升，這與歷史進程以及我們的預期均相符。Android 5.1 和 Android 4.4 所占比 例繼續降低，但低于 6.0 版本的設備依然占據了約 31%的比例。Android 8.0 和

23、 8.1 的比例有 一定幅度的上升，Android 9.0 版本比例也占到了 2%，這不光意味著版本號上的更新，更意 味著更多的用戶能夠享受到新版 Android 系統所帶來的一系列安全更新，其中包括更先進 的隱私敏感權限動態管理功能和更新功能， 而這在一定程度上也極大的增強了用戶手機的安 全性。在 Android 8.0 引入了一項叫做 Project Treble 的功能，可以緩解安卓系統更新滯后的 問題，我們也希望看到這一功能得以最大化發揮作用。但由于 Google 官方對此技術的要求 為：出廠預置 8.0 及更高系統的新手機必須支持 Project Treble，出廠預置低于 8.0

24、的系統在 升級 8.0 后可選配置 Project Treble，根據我們觀察，目前有許多設備雖然升級到了 8.0，但 仍不支持 Project Treble， 新系統、 新設備仍無法獲得 Google 官方的安全更新， 故短時間內， 安卓系統的碎片化和老舊設備的比例依然會保持較高比例，安全狀況依然形勢嚴峻。 9 通過對每個 Android 版本平均漏洞數量進行統計，得到如下圖所示結果。從圖中可看出 Android 5.1 及其以下版本平均漏洞數量較多，且整體較上一季度的平均漏洞數保持增加趨 勢， 這很大程度上是由于部分老舊設備無法獲得更新而我們檢測的漏洞又在持續增加， 因此 造成了這種現象；

25、而 Android 7.1 及以上系統則更為安全，平均漏洞數量急劇降低。 從圖中可以看出，安卓系統版本與漏洞數量并不是簡單的線性關系。Android 5.0 以下 版本漏洞數量隨版本升高而遞增，并不是說明 Android 版本越高越不安全，而是因為此次檢 測主要關注的是最近兩年的漏洞， 相對版本越老的 Android 系統因為不支持較新的功能而可 能不存在相應的漏洞。另外，由于 Google 已經不再為 Android 6.0 及以下系統版本提供安全 更新，導致相對于去年的檢測數據，Android 6.0 及以下系統的平均漏洞數一直居高不下。 反觀對于 Android 7.0 及以上系統版本，

26、 由于持續的安全補丁推送， 平均漏洞數相對低很多。 實際上系統的安全性受到廠商重視度、系統功能的多少與變動，甚至服役時間、普及程 度、 惡意攻擊者的攻擊價值等等因素的共同影響， 但修補了歷史已知漏洞的最新系統往往會 相對安全些。 二、 安卓系統漏洞緩解措施 隨著 Android 版本號的提升，其安全手段與漏洞緩解措施也在逐漸增加。通常來說，版 本越新的安卓系統，其安全防護手段越強，系統漏洞利用的難度也越大。 例如，從 Android 4.3 開始，安卓開始引入 SELinux 沙盒機制，并在后續的版本中不斷 對其進行加固，從 Android 5.0 開始，引入全盤加密，以保證用戶的信息安全。A

27、ndroid 7.0 中提供了基于文件的加密， 進一步保證了用戶的信息安全； 并實現了深層次的地址隨機化機 制， 使得本地權限提升的攻擊難度顯著提高。 該版本 Android 系統中 Google 工程師對 Media Server 進行了重構，將其按照最小權限原則將之分隔成多個獨立的進程與組件，從而即使其 中某一個進程或組件存在漏洞， 攻擊者也無法直接在別的進程空間內執行代碼； 并且在整個 MediaServer 的編譯過程中新增了整型溢出防護機制， 從而從編譯階段杜絕類似于 Stagefright 漏洞利用情況的出現。 在 Android 8.1 中， 系統的安全性又進一步增強， 如引進

28、Project Treble， 進一步提升了對設備特定組件的攻擊保護； Webview 方面也有提升， Android 8.0 中 Webview 運行在獨立的沙箱進程中，對系統其余部分的訪問非常有限。最新的 Android 9.0 也加入了 10 很多安全特性，如新的硬件安全性模塊，控制流完整性校驗，具有密鑰輪轉的 APK 簽名方 案等，可以更加有效的保護用戶的設備及應用安全。 不論從漏洞數目， 還是漏洞防護機制上， 最新版本的安卓系統均比低版本安卓系統安全 性更好。而國內由于安卓碎片化的情況，仍存在大量低版本的帶有漏洞的安卓設備。 11 第三章 手機系統安全性地域分布 正如電信詐騙、偽基站

29、等有明顯的地域分布特征，為了更加細致地探究系統漏洞與不 同省市之間的關系，我們根據樣本數據中地域信息進行了統計和分析。 下圖為各省份平均每臺手機漏洞數量，數值越大，說明該地域安卓手機的安全性相對 越低、越不安全；數字越小，則代表該地域安卓手機的安全性越高。手機安全性最低的前三 名為黑龍江、寧夏、西藏，平均每臺手機擁有漏洞數分別為 20.9、20.1、20.1 個。而安全性 最高的前三名為安徽、北京、上海，平均每臺手機擁有漏洞數分別為 17.5、17.8、17.8 個。 大致上， 經濟越發達的地區， 用戶所使用的手機的平均漏洞數量越少， 手機安全性相對越高。 12 用熱力圖表示如上圖所示，可以更

30、好的看出平均漏洞數的地域分布特征。顏色越紅的 地區，手機的安全性越低，顏色越淺的地區，手機安全性越高。 13 第四章 手機系統安全性與用戶性別的相關性 由于性別上天生的性格、喜好等的差異，不同性別的用戶在選擇手機時可能會有不同 的側重點， 比如女性用戶可能在外觀、 輕薄、 顏色等方面著重考慮， 而男性可能更側重性能、 屏幕尺寸等因素。 一部手機在其服役周期內也可能會因時間的推移而被不同的使用者所使用， 而廠商在手機的升級維護中，不同手機又會有不同的策略。 為了探究手機系統的安全性與用戶性別之間有無聯系，我們調研了 1000 位用戶的性別 信息，統計了不同性別用戶與其手機的安全性之間可能的關系。

31、 從上圖中，我們可以清晰的看出：在此次評測中，男性與女性使用的手機系統版本分布 差異不大，與 2018 年數據相比，整體比例無過大變化，只是 7.1 及以上的新版本系統所占 比例提升比較明顯。 14 不同性別用戶手機系統中存在的漏洞情況如上圖所示。我們可以看到男性與女性手機 的平均系統版本數值均約為 23.2 (數值為系統 API 版本，為 Google 官方為便于安卓版本的 計數而提供的一個版本的數字代號，其中 5.0 為 21，5.1 為 22，6.0 為 23，7.0 為 24)，即平 均使用的系統版本在 Android 6.0 和 7.0 之間。 對比 2018 年數據，男性和女性的平

32、均系統版本均有所提升，但平均來看，女性用戶手 機系統版本提升幅度為 0.7，而男性用戶手機系統版本提升幅度較小，僅提升了 0.5。 在此次統計中，無論男性還是女性用戶，平均漏洞個數均有所降低。其中，女性手機 平均漏洞個數降低較為明顯，較 2018 降低幅度為 16%，而男性用戶平均漏洞數量降低幅度 僅為 9%。從此次統計數據可以看出，2019 年女性用戶手機系統版本增長明顯，漏洞數量降 低明顯，說明女性用戶的手機更新換代更為頻繁，新上市的手機因為系統版本更新，廠商支 持力度更大，所以存在漏洞數量也就越低。 15 第五章 手機系統安全漏洞的修復 受到 Android 系統的諸多特性的影響，系統版

33、本的碎片化問題日益突出。就每一款手機 而言，廠商在其維護周期內，通常會隔一段時間向用戶推送一次升級版本，而用戶在大多數 情況下可以自主選擇升級或不升級。綜合這些特性，在 Android 系統的安全漏洞方面，也產 生了嚴重的碎片化問題。 在 Android 系統中，存在一個名為“Android 安全補丁級別”的字段，它是 Google 公司向 第三方安卓手機廠商推送的一個 Android 安全補丁的日期號， 旨在為安卓設備的已知漏洞的 修復情況做一個簡單的說明。 當前 Google 對于 Android 7.0 及其上版本號的安卓系統會定期 推送更新，如果廠商遵循 Google 公司的建議正確打

34、入補丁，那么手機中顯示的安全補丁級 別越高，即日期越新，手機的安全情況就相對越安全。 為了探究手機系統中已知安全漏洞的修復情況，我們對樣本中不同設備型號、不同系 統安全漏洞的修復情況做了相關研究。 一、 廠商漏洞修復情況 為了探究國內廠商為現存設備修復安全漏洞的情況，我們統計了樣本中不同廠商手機 目前的安全補丁級別情況。 下圖為各廠商手機中實際存在的安全補丁級別情況，該情況是將各廠商現存手機中實 際補丁日期與 Google 官方最新版本（2019 年 6 月）版本對比，綜合安全補丁級別最高、最 新的手機品牌前 5 名。圖中綠色方塊面積越大，說明該廠商的手機補丁級別相對越高，漏洞 修復相對越及時

35、； 相反， 如果黃色和橙色面積越大， 則說明補丁級別越低， 漏洞修復越滯后。 從圖中我們可以看出，在及時推送安全補丁級別方面，TOP5 的廠商在本年度檢測結果 呈現比較明顯的兩極分化， 比如廠商 1 的整體看安全補丁更新比較及時， 且有很大比例安全 更新與谷歌保持同步。 廠商5的安全補丁更新情況比較差， 大部分都是滯后官方7個月以上， 沒有與官方補丁更新保持同步的設備，可以看出其對手機安全的重視程度比較差。 16 二、 用戶主動升級意愿 為了探究用戶主動升級系統的意愿，我們統計了不同廠商、不同機型、不同安全補丁級 別的分布情況。 此統計為在每個機型中， 觀察用戶是否主動保持這個廠商對此機型提供

36、最新 版本。 整體上，可以明顯發現近半的用戶還是很有安全意識的，從統計數據中可以看出，約有 45.2%的用戶能夠保持手機系統中安全補丁等級的版本與廠商所能提供的最新版本保持一 致，這一比例相較 2018 年降低了 1.5 %。仍有 11.7%的用戶的系統版本滯后廠商最新版本 1-3 個月， 大約 5.9%的用戶手機版本滯后 4-6 個月， 約 14.5%的用戶手機版本滯后半年以上， 有 22.8%的用戶手機版本滯后官方最新版本達一年以上?？傮w而言，更新滯后的平均時間在 變長，而這些用戶將比保持系統更新的用戶暴露在更多的漏洞與更高的攻擊風險之中。 我們還統計了近兩年來用戶手機系統與廠商保持同步更

37、新的比例變化情況， 如下圖所示。 17 整體來說， 近半用戶還是會愿意保持系統更新至最新版本， 但是保持更新的比例有小幅 下降，更新比例仍然偏低，一半以上的用戶手機處于高風險狀態。 對于安卓手機用戶來說， 其手機操作系統大多由手機廠商在其維護周期內提供更新。 但 往往會有用戶手機服役周期超出廠商維護周期（通常為兩年）的情況，此時，考慮到手機硬 件條件、用戶體驗等問題，大多數廠商通常都不會再提供系統更新服務，也因此會導致某些 手機機型系統無法與最新的安卓版本保持一致。 從用戶角度來看， 我們建議手機廠商在不影響用戶體驗的基礎上， 盡量為用戶提供系統 漏洞安全補丁方面的更新，以保護用戶手機安全不受

38、影響。 三、 漏洞修復綜合分析 雖然很多手機廠商會給用戶推送安全更新， 但是大部分廠商很難保證安全補丁的更新時 間能與安卓官方保持同步， 這也導致很多用戶實際上并不能及時得到已公開漏洞的安全補丁。 下圖給出了用戶手機系統與安卓官方系統、手機廠商系統的更新情況對比。 可以看到，近一半的手機用戶能夠保持手機系統與廠商最新系統的同步更新，且近 6 成用戶能夠在廠商推出更新版本后三個月內更新自己的手機。 但能夠享受與安卓官方最新系 統保持同步更新服務的用戶則僅為 2.8%，但這一數據較 2018 年上升 1.8%；滯后時間小于 3 個月的用戶占比 7.9%， 上升 0.4%； 同時注意到滯后 1 年以

39、上的手機系統比例明顯有所提升， 這也是由于老舊機型逐步淘汰的結果?？梢钥闯?，Google 公司推出安全更新的速度正在加 快，但廠商和手機用戶安全更新的速度相對較慢。 綜合對比用戶手機系統的更新狀態、 安卓官方的更新狀態和手機廠商的更新狀態， 我們 發現：與安卓官方最新更新時間相比，用戶的手機系統平均滯后了約 18.2 個月，但與手機 廠商已經提供該機型的最新版本相比，則平均只滯后了 6.0 個月，這兩個數據較 2018 年第 四季度有所上升， 但用戶手機因未能及時更新而存在安全漏洞的重要原因仍然是手機廠商普 遍未能實現其定制開發的安卓系統與安卓官方同步更新，而且延時較大。 18 第六章 新品手

40、機安全更新情況 由于安卓官方在早期安卓版本中對于安全補丁沒有統一的補丁策略，導致大部分早期 手機廠商發布手機產品后即使想對手機系統安全情況予以修補也會受到較大的阻力。 當今主 流消費者所購買的手機一般是最新發布的型號， 為了探究主流廠商在今天對于新機型的安全 更新情況，我們特意選取了自 2017 年以來的數據并分析安卓 7.0 及以上手機的安全補丁更 新情況。 為了探究主流機型的安全更新情況，我們以不同時間下安全補丁等級的分布情況作為 數據信息，經匯總分析后，結果如下圖所示 。 圖中橫坐標代表檢測結果中出現的不同安全補丁等級，縱坐標代表我們不同的檢測時 期（從 2017 年第二季度至今） 。即

41、圖中色塊表示在檢測結果中的安全補丁等級的分布情況， 綜合多次檢測結果即可判斷系統安全補丁等級的變化趨勢。 從圖中我們可以看出，主流機型在 2017 第二季度至 2019 第二季度的過程中，圖中呈 現比較明顯的以淺色為主變為深色占比明顯的遷變趨勢。 即設備中安全補丁等級是在隨著時 間的推進而不斷更新的，沒有出現大范圍停止更新的情況。事實上，一方面安卓系統安全補 丁等級機制為廠商更新系統提供了便利， 另一方面廠商對于主流機型安全更新的也確實在持 續投入，因此新品手機的持續安全更新情況，較以往有了較大的改善。這說明主流手機廠商 不再是消費者所抱怨“只管賣不管維護”的極端情況了，廠商在手機安全方面做了

42、一定的努 力，有了顯著的效果。對于消費者來說，在進行手機的更新換代時可以更加放心的去選擇有 持續安全更新的廠商。 19 附錄 此次分析中所檢測的 104 個漏洞的編號如下表所示。 漏洞編號 公布時間 級別 漏洞類型 漏洞簡述 CVE-2016-0838 2016/01/12 嚴重 遠程攻擊 Sonivox 組件中的遠程攻擊漏洞 CVE-2016-0841 2016/02/26 嚴重 遠程攻擊 MetadataRetriever 組件中的遠程攻擊漏 洞 CVE-2015-1805 2016/03/18 嚴重 權限提升 Pipe 條件競爭 Root 漏洞 CVE-2016-2430 2016/03/25 嚴重 權限提升 Debuggerd 中的權限提升漏洞 CVE-2016-2463 2016/06/01 嚴重 遠程攻擊 媒體服務進程中的遠程攻擊漏洞 CVE-2016-3861 2016/09/01 嚴重 遠程攻擊 國際編碼漏洞 CVE-2016-5195 2016/12/05 嚴重 權限提升 臟牛漏洞 CVE-2