1、 2018 年上半年度 安卓系統安全性生態環境研究 2018 年 7 月 25 日 摘 要 此報告數據來源為 “360 透視鏡” (360 團隊發布的一款專業檢測手機安全漏洞的 APP, http:/ 90 萬份漏洞檢測報告,檢測內容包括最近三年的 Android 和 Chrome 安全公告中檢出率較高的 78 個漏洞,涵蓋了 Android系統的各個層面。 檢測結果顯示, 截止至 2018 年 7 月, 所測設備中 99.97%的 Android 手機存在安全漏洞,有 0.03%的設備完全沒有檢測出漏洞,安全程度同比下降 6.03%。 Android 版本占比最高的 3 個版本分別為 And
2、roid 6.0、 Android 5.1 和 Android 4.4,比例分別為 38%、29%和 14%,Android 7.0 和 7.1 版本所占比例分別為 4%和 10%,而最新版的 Android 8.0 和 8.1 版本均接近 1%。從結果上看,Android 版本高低和漏洞數量多少并沒有嚴格的線性關系,在高版本系統上(7.0 及以上) ,漏洞數量明顯減少,平均漏洞數雖有所提高,但對于歷史漏洞的修復情況則較為明顯。與上季度相比,用戶整體的版本的更新和推進變化不大,Android 6.0 依舊是用戶量最多,高版本系統 7.0 和 7.1繼續保持上升趨勢,最新的 8.0 和 8.1
3、也有在緩慢提升;在平均漏洞數方面,由于新漏洞的出現,設備平均漏洞數均有所提升。檢測的漏洞總案例在繼續增加,且檢出漏洞數也有一定的增加,這在一定程度上說明了安卓安全攻與防之間的較量是在動態變化的。 用戶手機的平均漏洞數量存在比較明顯的地域特征,北京、廣東、上海等地區的用戶手機平均漏洞數量最少,吉林、黑龍江、甘肅等地區的用戶手機漏洞數量相對較多。這一數據的順序較上一季度略有變化,整體平均漏洞數基本持平。 不同性別的用戶平均系統版本較上一季度均有所提升, 不同性別用戶的平均手機版本基本持平,女性用戶的手機平均漏洞數量比男性用戶仍低一些。 其中 99.1%的設備存在瀏覽器內核相關漏洞, 瀏覽器內核漏洞
4、最多的設備同時存在 6 個漏洞(版本號 50.0.2661.86) ,有超過半數的設備漏洞數超過 3 個,僅有 0.9%的設備不受瀏覽器內核漏洞影響。與上一季度相比,瀏覽器安全情況面臨的安全問題較為明顯,通過我們的分析, 這與新公開的瀏覽器內核漏洞有直接關聯, 未能及時升級瀏覽器內核導致新漏洞影響范圍十分廣泛。 安卓手機用戶中,約有 42.0%的用戶會保持手機系統(特指安全補丁等級)版本與廠商所提供的最新版本保持一致, 約有 15.2%的用戶的手機系統版本會保持滯后廠商最新版本 1 到 3 個月,接近 9.6%的用戶會滯后 4 到 6 個月,其余用戶會滯后半年以上。其中保持手機系統更新的用戶相
5、較上個季度無明顯差異。 與安卓官方最新更新情況相比,用戶手機系統平均滯后了約 12.8 個月;但與手機廠商已經提供該機型的最新版本相比,則平均只滯后了 5.6 個月。這兩項數據上看,安全補丁的更新環比均有所滯后,但整體差距不大。由此可見,用戶手機因未能及時更新而存在安全漏洞的重要原因之一,就是手機廠商普遍未能實現其定制開發的安卓系統與Google 官方同步更新,而且滯后性比較明顯。 關鍵詞:關鍵詞:安卓安全、安卓漏洞、漏洞檢測 目 錄 研究背景 . 1 第一章 手機系統安全性綜述 . 1 一、 系統漏洞的危險等級 . 1 二、 系統漏洞的危害方式 . 1 三、 系統瀏覽器內核的安全性 . 3
6、四、 系統漏洞的數量分布 . 5 五、 手機安全生態宏觀描述 . 6 第二章 手機系統版本安全性 . 8 一、 各系統版本漏洞情況 . 8 二、 安卓系統漏洞緩解措施 . 9 第三章 手機系統安全性地域分布 . 11 第四章 手機系統安全性與用戶性別的相關性 . 13 第五章 手機系統安全漏洞的修復 . 15 一、 廠商漏洞修復情況 . 15 二、 用戶主動升級意愿 . 16 三、 漏洞修復綜合分析 . 17 第六章 新品手機安全更新情況 . 19 附錄 . 20 1 研究背景 在中國,Android 系統作為智能手機中市場占有率最高的移動操作系統,承載著億萬手機用戶的生產生活,大量的 And
7、roid 開發人員為其添磚加瓦。但樹大招風,Android 智能手機也暴露在各種惡意軟件、系統漏洞的威脅之中,無數惡意軟件、電信詐騙不斷挑戰用戶的安全意識,但各種隱藏在系統之中的系統漏洞對用戶的手機安全影響更為可怕。 由于 Android 操作系統目前仍未有非常完善的補丁機制為其修補系統漏洞,再加上Android 系統碎片化嚴重, 各手機廠商若要為采用 Android 系統的各種設備修復安全問題則需投入大量人力物力。 隨著各種系統漏洞的不斷披露, 現存的 Android 智能手機就像一艘漏水的船, 縱然手機安全軟件能夠緩解一些安全隱患,但系統中的漏洞仍未能有效修補,攻擊大門依舊打開。而Andr
8、oid 平臺之上的安全軟件又無法被授予系統的最高權限, 因而 Android 系統安全問題一直非常棘手。 為了讓消費者了解到自己手機的安全性, 360 歷時一年打造了中國第一個 Android 平臺的手機漏洞檢測工具“360 透視鏡”(https:/ ,并向社會公開,任何用戶和個人都可下載安裝。 “360 透視鏡”應用依據 Android 官方提供的安全補丁更新通知作為漏洞信息來源,在 Android 系統上實現了無需申請敏感權限即可檢測 Android 系統中存在的漏洞這一核心功能,降低了用戶了解自己手機安全狀況的限制門檻。 此報告基于“360 透視鏡”應用用戶主動上傳的 90 萬份漏洞檢測
9、報告,檢測內容包括近三年(最新漏洞檢測更新至 2018 年 6 月)Android 與 Chrome 安全公告中檢出率較高的78 個漏洞,涵蓋了 Android 系統的各個層面,且都與具體設備的硬件無關。我們統計并研究了樣本中的漏洞測試結果數據, 并對安全狀況予以客觀具體的量化, 希望引起用戶和廠商對于手機系統漏洞的關注與重視, 為 Android 智能手機用戶的安全保駕護航, 并希望以此來推進國內 Android 智能手機生態環境的安全、健康發展。 1 第一章 手機系統安全性綜述 一、 系統漏洞的危險等級 此次報告評測的 78 個系統漏洞, 按照 Google 官方對系統漏洞的危險評級標準,
10、 按照危險等級遞減的排序規則,共分為嚴重、高危、中危三個級別。即“嚴重”級別的漏洞對系統的安全性影響最大,其次為“高?!奔墑e漏洞,然后為“中?!奔墑e漏洞, “低?!奔墑e漏洞未入選。 在這 78 個漏洞中, 按照其危險等級分類, 有嚴重級別漏洞 12 個, 高危級別漏洞 46 個,中危級別漏洞 20 個。其中高危以上漏洞對用戶影響較大,在此次安全評測中對此類漏洞的選取比例達 74.4%。 此次系統安全分析結果顯示: 95.9%的 Android 設備受到中危級別漏洞的危害,99.7%的 Android 設備存在高危漏洞,67.7%的 Android 設備受到嚴重級別的漏洞影響。 二、 系統漏洞的
11、危害方式 此次報告評測的 78 個系統漏洞, 參照 Google 官方對系統漏洞的技術類型分類標準并加以適當合并, 按照各漏洞的明顯特征分類, 共分為遠程攻擊、 權限提升、 信息泄漏三個類別。遠程攻擊漏洞是指攻擊者可以通過網絡連接對用戶的系統進行遠程攻擊的漏洞, 權限提升是指攻擊者可以將自身所擁有的權限得以提升的漏洞, 信息泄漏則為可以獲得系統或用戶敏感信息的漏洞。 在這 78 個漏洞中, 按照其危害方式分類, 有遠程攻擊漏洞 35 個, 權限提升漏洞 29 個,信息泄漏漏洞 14 個。 此次系統安全分析結果顯示:99.9%的設備存在遠程攻擊漏洞,97.0%的設備存在權限提升漏洞,84.8%的
12、設備存在信息泄露漏洞。與往期相比,檢測漏洞數有所增加且影響設備比例也有所提升, 說明絕大部分手機的更新情況不容樂觀并且仍在不安全的狀態中繼續使用, 2 這些更新不及時的設備在未來一段時間仍將繼續暴露在漏洞的威脅中。 為了觀察不同類別的漏洞中哪些影響的設備比例最多, 我們分別對三種類別的漏洞進行統計排序, 挑選出了各類別中影響設備比例占比前三名的漏洞, 其中影響最廣泛信息泄露漏洞為 CVE-2018-9349,65.8%的設備都存在這個漏洞,而 CVE-2016-1677 的影響范圍有所下降,從 72.5%降至 58.2%,退居第二;權限提升漏洞中,CVE-2017-0666 依然影響最廣,影響
13、范圍從 77.7%降至 56.8%,主要是由于該漏洞僅影響 7.1 及以下的系統,新手機和新系統不受影響;遠程攻擊漏洞中,CVE-2015-7555 影響設備依然最多,影響 60.0%的設備,下降17.7%。 而2017年度中我們關注的CVE-2015-6764在本季度中影響設備比例已經退出Top3,取代它位置的漏洞是 CVE-2017-0820,影響 47.1%的設備。 第二季度中 Android 新修復并公開的 CVE-2017-0666 漏洞在本季度中影響設備數量依然十分龐大,并且在未來一段時間仍會如此。對比本季度的數據中可以發現,歷史漏洞的影響比例整體有所下降,但新舊漏洞如同波浪一般,
14、層出不窮并且形式依然嚴峻。這表明隨著 3 新機型和系統更新的加入,安卓設備的安全性整體處于不斷推進安全更新的過程之中。 遠程攻擊漏洞是危險等級高、被利用風險最大的漏洞,也是我們最關注的漏洞,為此我們統計了每期報告中遠程攻擊漏洞排名 Top3 的趨勢變化,結果如下圖所示。 可以看到,遠程攻擊漏洞整體呈現下降趨勢,但是部分漏洞仍然影響較多設備,3 成以上的用戶手機仍然處于被遠程攻擊的風險中,安全形勢不容樂觀。 三、 系統瀏覽器內核的安全性 系統瀏覽器內核是用戶每日使用手機時接觸最多的系統組件,不僅僅是指用戶瀏覽網頁的獨立瀏覽器,實際上,許多安卓應用開發者考慮到開發速度、保障不同設備之間的統一性等因
15、素,會使用系統提供的瀏覽器內核組件。因而用戶在每日的手機使用中,大多會直接或間接地調用了系統瀏覽器內核。 在此次評測中,系統瀏覽器內核是指 Android 系統的 Webview 組件的核心,在 Android 4.4之前, Android系統的Webview是基于Webkit的, 在Android 4.4及以后的系統中, Webview的核心被換成了 Chromium(Chrome 的開源版本,可近似理解為 Chrome)。 在統計的樣本中,Webkit 內核版本由于其版本較為一致,故在示意圖中僅占一塊,其余為 Chrome 內核的不同版本。本季度 Webkit 所占比重幾乎為 0%,與 2
16、017 年度相似,說明 4.3 及以下系統手機已經幾乎淡出歷史舞臺。截止至本季度,當前 Google 發布的 Android平臺 Chrome 穩定版的內核的最新版本為 Chrome 67, 而在此次檢測中有不到 1%的用戶將自己手機中的瀏覽器內核升級至最新。 而從圖中可以看出, Chrome 內核版本大于等于 55 的設備占 37%,較 2017 年 12 月的 24%提升 13%。對比上一季度的數據,版本大于 50 的設備比例有所增長,從 27%增至 44%。在此次檢測中,瀏覽器更新情況有了很大提升,說明國內廠商有更新瀏覽器內核的舉措。同時,在檢測樣本中,出現了用戶主動更新瀏覽器內核的情況
17、,有部分用戶手動升級了 Chrome 內核至 68Beta 版,說明用戶對于安全更新是十分渴求的??偟膩碚f,瀏覽器內核整體版本有所跟新推進,國內安卓系統生態圈中對瀏覽器內核的更新進度相對有所增強,但仍存在嚴重的更新滯后問題,遠程攻擊漏洞中的 CVE-2015-6764即是瀏覽器內核漏洞,至今仍然影響 53.2%的用戶,足以說明這一點。 4 為了研究不同瀏覽器內核版本的安全性, 我們統計了不同版本的瀏覽器內核的平均漏洞個數。下圖顯示了不同 Webview 版本平均漏洞數量,其中內核版本在 Chrome 50 以下的版本中漏洞數量明顯高于 Chrome 50 以上版本,Chrome 55 以上版本
18、漏洞數量相對最少。從圖中可以看出較新版本瀏覽器內核漏洞數量相對較少, 其中 Chrome 67 版本及以上的設備平均漏洞檢出情況則為 0。同時,2017 年度未檢測出漏洞的 57 版本在今天也檢測出了存在 2 個漏洞, 瀏覽器漏洞也是在不斷出現并威脅著瀏覽器的安全。 以上數據充分說明保持最新版本的瀏覽器內核可以十分有效增強手機瀏覽器內核的安全性。 瀏覽器內核漏洞多數可通過遠程方式利用, 因而對于用戶的手機安全危害較大。 安卓系統瀏覽器內核漏洞的分布情況如下圖所示。 其中 99.1%的設備存在至少一個瀏覽器內核漏洞,18.9%的設備同時存在 4 個瀏覽器內核漏洞,漏洞數量最多的設備同時存在 6
19、個漏洞,但僅有 5 臺設備,其版本號為 Chrome 50.0.2661.86。僅有 0.9%的設備不受瀏覽器漏洞影響。較上一季度, 瀏覽器安全情況隨著新漏洞的出現而又一次變得岌岌可危。 整體來看瀏覽器升級情況有所提升, 瀏覽器內核版本的更新緩解了一部分老舊漏洞的影響, 但新漏洞的出現瞬間 5 挑戰了大量設備的安全性,用戶依然暴露在瀏覽器漏洞的威脅之中。 四、 系統漏洞的數量分布 為了研究用戶手機中漏洞數量的分布規律和對用戶手機中的安全等級做一個直觀的評分,我們統計了所有樣本中手機存在漏洞個數的比例分布,結果如下圖所示。 在此次測試中,我們檢測了 78 個已知漏洞,有 99.97%的設備存在至
20、少一個安全漏洞,漏洞最多的設備同時包含有 56 個安全漏洞。這一數據較 2017 年第四季度 93.94%的比例有所提升, 存在 10 個、 20 個及以上漏洞的比例有所降低, 但依然保持較高的比例。 可以發現,如果手機廠商積極做好手機系統的安全補丁更新工作, 手機系統舊漏洞的修復情況就會有所好轉。雖然國內廠商在不斷地對安卓設備進行安全更新,但是安全漏洞也在層出不窮,存在漏洞的設備比重仍然居高不下。 6 為了研究近三年用戶手機中漏洞數量的變化, 同時反映用戶手機安全性的變化情況, 我們總結了自 2016 年至今的漏洞數量比例分布及趨勢,結果如下圖所示。 可以發現,手機存在漏洞的比例整體居高不下
21、,同時若加大檢測力度,用戶手機整體的安全形勢將會表現的更加嚴峻。 如果手機廠商積極做好手機系統的安全補丁更新工作, 現行手機系統的安全情況就會有明顯的提升。雖然國內廠商在不斷地對安卓設備進行安全更新,但是安全漏洞也在層出不窮,存在漏洞的設備比重仍然居高不下。 五、 手機安全生態宏觀描述 為了研究用戶手機中漏洞數量的宏觀情況,我們統計了如下宏觀描繪圖。 其中, 各個獨立的方塊都代表一款具體型號的安卓設備; 方塊面積表示該型號設備使用人數的多少, 使用的人數越多則相應面積越大; 其顏色由綠色到紅色之間的漸變代表了該型號設備的平均安全水平。 由圖中可以看出, 對于市場占有率高的產品其安全更新情況更加
22、樂觀一些。對比上一季度,新設備的安全補丁更新情況有了很大的進步,廠商對于手機系統安全補丁的重視程度和投入有了明顯的改善, 多數國內主流廠商均有更新推送新設備的安全補 7 丁,一線廠商則將系統更新至與安卓官方同步(2018-06) ,但宏觀上看安全情況更加嚴峻,主要原因是新設備所占比例相對較低,正在使用的設備絕大部分還是難以更新的老舊設備。 8 第二章 手機系統版本安全性 一、 各系統版本漏洞情況 由于 Android 系統在升級時不可直接跨版本升級而廠商往往又不愿意為舊機型耗費人力物力適配新系統,因而在一定程度上導致了 Android 系統版本的碎片化。 為了研究不同版本的安卓系統的安全性,我
23、們統計了樣本手機所使用的安卓版本分布,并進一步對這些不同的版本的漏洞數量進行了統計分析。 采用 Android 系統版本的分布情況如下圖所示,在此次樣本中,Android 系統占比最高的3個版本分別為Android 6.0、 Android 5.1和Android 4.4, 比例分別達到38%、 29%和14%,而高版本中 Android 7.0 和 7.1 版本所占比例分別為 4%和 10%, Android 8.0 和 8.1 系統也有超過 1%的占比。 與 2017 年第四季度相同,Android 6.0 依舊為最流行的系統版本,但 6.0 及更高的系統版本所占比例有了明顯提升, 這與歷
24、史進程和我們的預期均相符。 Android 5.1 和 Android 4.4所占比例繼續降低,但低于 6.0 版本的設備依然占據了約 60%的比例。Android 8.0 和 8.1 的比例有一定幅度的上升, 這不光意味著版本號上的更新, 更意味著更多的用戶能夠享受到新版 Android 系統所帶來的一系列安全更新,其中包括更先進的隱私敏感權限動態管理功能和更新功能,而這在一定程度上也極大的增強了用戶手機隱私的安全性。在 Android 8.0 引入了一項叫做 Project Treble 的功能,可以緩解安卓系統更新滯后的問題,我們也希望看到這一功能得以最大化發揮作用。但由于谷歌官方對此技
25、術的要求為:出廠預置 8.0 及更高系統的新手機必須支持 Project Treble,出廠預置低于 8.0 的系統在升級 8.0 后可選配置 Project Treble,根據我們觀察,目前有許多設備雖然升級到了 8.0,但仍不支持 Project Treble,新系統、新設備仍無法獲得谷歌官方的安全更新,故短時間內,安卓系統的碎片化和老舊設備的比例依然會保持較高比例,安全狀況依然形勢嚴峻。 通過對每個 Android 版本平均漏洞數量進行統計,得到如下圖所示結果。從圖中可看出 9 Android 5.1 及其以下版本平均漏洞數量較多,且整體較上一季度的平均漏洞數保持增加趨勢, 這很大程度上
26、是由于部分老舊設備無法獲得更新而我們檢測的漏洞又在持續增加, 因此造成了這種現象;而 Android 7.0 以上系統則更為安全,平均漏洞數量急劇降低。其中比較新的 Android 8.0 和 8.1 的系統中,平均漏洞數較上一季度有所提升,這主要是由于一些新出現的漏洞依然影響 8.0 和 8.1 系統,而安全補丁推送又有一定的延遲造成的。 從圖中可以看出,安卓系統版本與漏洞數量并不是簡單的線性關系。Android 5.0 以下版本漏洞數量隨版本升高而遞增,并不是說明 Android 版本越高越不安全,而是因為此次檢測主要關注的是最近三年的漏洞,而 Android 4.4 發布距今已經過去了
27、3 年的時間,因而相對版本越老的 Android 系統因為不支持較新的功能而可能不存在相應的漏洞。 Android 5.0 以上版本,隨著系統版本升高,漏洞數量急劇減少。 環比上季度的數據,全系列系統的平均漏洞數均有所增加,這是由于本季度又新修復和公開了一些漏洞,而這些漏洞中有些漏洞影響范圍十分廣泛。 實際上系統的安全性受到廠商重視度、系統功能的多少與變動,甚至服役時間、普及程度、 惡意攻擊者的攻擊價值等等因素的共同影響, 但修補了歷史已知漏洞的最新系統往往會相對安全些。 二、 安卓系統漏洞緩解措施 隨著 Android 版本號的提升,其安全手段與漏洞緩解措施也在逐次加固。通常來說,版本越新的
28、安卓系統,其安全防護手段越強,系統漏洞利用的難度也越大。 例如,從 Android 4.3 開始,安卓開始引入 SE Linux 沙盒機制,并在后續的版本中不斷對其進行加固 ,從 Android 5.0 開始,引入全盤加密,以保證用戶的信息安全。Android 7.0中提供了基于文件的加密, 進一步保證了用戶的信息安全; 并實現了深層次的地址隨機化機制,使得本地權限提升的攻擊難度顯著提高。該版本 Android 系統中谷歌工程師對 Media Server 進行了重構,將其按照最小權限原則將之分隔成多個獨立的進程與組件,從而即使其中某一個進程或組件存在漏洞,攻擊者也無法在別的進程空間內執行代碼
29、;并且在整個Media Server 的編譯過程中新增了整型溢出防護機制,從而從編譯階段杜絕類似于Stagefright 漏洞利用情況的出現。在最新的 Android 8.1 中,系統的安全性又進一步增強,如 10 引進 Project Treble,進一步提升了對設備特定組件的攻擊保護;Webview 方面也有提升,Android 8.0 中 Webview 運行在獨立的沙箱進程中,對系統其余部分的訪問非常有限。 不論從漏洞數目, 還是漏洞防護機制上, 最新版本的安卓系統均比低版本安卓系統安全性更好。而國內由于安卓碎片化的情況,仍存在大量低版本的帶有漏洞的安卓設備。 11 第三章 手機系統安
30、全性地域分布 正如電信詐騙、偽基站等有明顯的地域分布特征,為了更加細致地探究系統漏洞與不同省市之間的關系,我們根據樣本數據中地域信息進行了統計和分析。 下圖為各省份平均每臺手機漏洞數量,數值越大,說明該地域安卓手機的安全性相對越低、越不安全;數字越小,則代表該地域安卓手機的安全性越高。手機安全性最低的前三名為吉林、黑龍江、甘肅,平均每臺手機擁有漏洞數分別為 21.4、21.3、21.1 個。而安全性最高的前三名為北京、廣東、上海,平均每臺手機擁有漏洞數 18.2、18.6、18.9。大致上,經濟越發達的地區,用戶所使用的手機的平均漏洞數量越少,手機安全性相對越高。 12 用熱力圖表示如上圖所示
31、,可以更好的看出平均漏洞數的地域分布特征。顏色越紅的地區,手機的安全性越低,顏色越淺的地區,手機安全性越高。 13 第四章 手機系統安全性與用戶性別的相關性 由于性別上天生的性格、喜好等的差異,不同性別的用戶在選擇手機時可能會有不同的側重點, 比如女性用戶可能在外觀、 輕薄、 顏色等方面著重考慮, 而男性可能更側重性能、屏幕尺寸等因素。 一部手機在其服役周期內也可能會因時間的推移而被不同的使用者所使用,而廠商在手機的升級維護中,不同手機又會有不同的策略。 為了探究手機系統的安全性與用戶性別之間有無聯系,我們調研了 1000 位用戶的性別信息,統計了不同性別用戶與其手機的安全性之間可能的關系。
32、從上圖中, 我們可以清晰的看出: 在此次評測中, 男性與女性使用的平均版本差異不大,與 2017 年第四季度相比,整體比例無過大變化,只是 8.0 及以上的新版本系統所占比例有所提升。 在不同性別的用戶手機的所存在的漏洞情況如上圖所示。我們可以看到女性手機的平均系統版本數值約為 22.3 (數值為系統 API 版本,為 Google 官方為便于安卓版本的計數而 14 提供的一個版本的數字代號,其中 5.0 為 21,5.1 為 22,6.0 為 23),即平均使用的版本號接近 Android 5.1 和 6.0 之間,而男性使用的平均版本號也為 22.3, 平均使用的 Android 版本號也
33、類似。 對比上季度的統計數據,男性和女性的平均系統版本均有所提升,但平均來看,女性提升幅度較小,僅為 0.1%,而男性用戶則平均提升了 0.6%。 在此次統計中,我們發現,女性手機平均版本比男性要略高一點,且均大于等于 5.1,而平均漏洞數女性手機所存在的漏洞數量則低于男性。這是由于 5.1 系統的漏洞數量較多,版本號的微弱變化反映在 5.1 系統安全漏洞上會被放大,此處僅 0.1%的版本號差異對應到漏洞上則為 0.5 個已知安全漏洞。 同時這也上面我們分析的漏洞數量與系統新舊不是簡單的線性關系有關, 并且和我們上述對于不同版本的安卓系統的漏洞數中的高于 5.1 版本的系統的平均漏洞個數開始遞
34、減的結論保持一致。 15 第五章 手機系統安全漏洞的修復 受到 Android 系統的諸多特性的影響,系統版本的碎片化問題日益突出。就每一款手機而言,廠商在其維護周期內,通常會隔一段時間向用戶推送一次升級版本,而用戶在大多數情況下可以自主選擇升級或不升級。綜合這些特性,在 Android 系統的安全漏洞方面,也產生了嚴重的碎片化問題。 在 Android 系統中,存在一個名為“Android 安全補丁級別”的字段,它是谷歌公司向第三方安卓手機廠商推送的一個 Android 安全補丁的日期號, 旨在為安卓設備的已知漏洞的修復情況做一個簡單的說明。當前谷歌對于 Android 4.4 及其上版本號
35、的安卓系統會定期推送更新, 如果廠商遵循谷歌公司的建議正確打入補丁, 那么手機中顯示的安全補丁級別日期越新,手機的安全情況就相對越安全。 為了探究手機系統中已知安全漏洞的修復情況,我們對樣本中不同設備型號、不同系統安全漏洞的修復情況做了相關研究。 一、 廠商漏洞修復情況 為了探究國內廠商為現存設備修復安全漏洞的情況,我們統計了樣本中不同廠商手機目前的安全補丁級別情況。 下圖為各廠商手機中實際存在的安全補丁級別情況,該情況是將各廠商現存手機中實際補丁日期與谷歌官方最新版本(2018 年 6 月)版本對比,綜合安全補丁級別最高、最新的手機品牌前 5 名。圖中綠色方塊面積越大,說明該廠商的手機補丁級
36、別相對越高,漏洞修復相對越及時;相反,如果黃色和橙色面積越大,則說明補丁級別越低,漏洞修復越滯后。 圖中我們可以看出,在及時推送安全補丁級別方面,TOP5 的廠商在本季度的檢測結果顯示較好, 而且在本季度的調研中這五個廠商均有保持與谷歌最新安全補丁同步的更新提供,這也顯示了廠商對于用戶手機中安全補丁等級的逐步重視。 16 二、 用戶主動升級意愿 為了探究用戶主動升級系統的意愿,我們統計了不同廠商、不同機型、不同安全補丁級別的分布情況。 此統計為在每個機型中, 觀察用戶是否主動保持這個廠商對此機型提供最新版本。 整體上,可以明顯發現近半的用戶還是很有安全意識的,從統計數據中可以看出,約有42.0
37、%的用戶能夠保持手機系統中安全補丁等級的版本與廠商所能提供的最新版本保持一致。 但是仍有 15.2%的用戶的系統版本滯后廠商最新版本 1-3 個月, 大約 9.6%的用戶手機版本滯后 4-6 個月, 約 11.19%的用戶手機版本滯后半年以上, 有 12.4%的用戶手機版本滯后官方最新版本達一年以上, 而這些用戶將比保持系統更新的用戶暴露在更多的漏洞與更大的攻擊風險之下。 我們還統計了近三年來用戶與手機廠商保持更新的比例變化情況,如下圖所示。 17 整體來說, 近半用戶還是會愿意保持系統更新至最新版本, 但是保持更新的比例并沒有呈現上升趨勢,而且更新比例仍然偏低,一半以上的用戶手機處于高風險狀
38、態。 對于安卓手機用戶來說, 其手機操作系統大多由手機廠商在其維護周期內提供更新。 但往往會有用戶手機服役周期超出廠商維護周期(通常為兩年)的情況,此時,考慮到手機硬件條件、用戶體驗等問題,大多數廠商通常都不會再提供系統更新服務,也因此會導致某些手機機型系統無法與最新的安卓版本保持一致。 從移動網絡安全角度來看, 我們建議手機廠商在不影響用戶體驗的基礎上, 盡量為手機用戶提供系統漏洞安全補丁方面的更新,以保護用戶移動安全不受影響。 三、 漏洞修復綜合分析 下圖給出了用戶手機系統與安卓官方系統、手機廠商系統的更新情況對比。 18 可以看到,近一半的手機用戶能夠保持手機系統與廠商最新系統的同步更新
39、,且近 6成用戶能夠在廠商推出更新版本后三個月內更新自己的手機。 但能夠享受與安卓官方最新系統保持同步更新服務的用戶則僅為 4.2%,較 2017 年第四季度比例均有所下降;滯后時間小于 3 個月的用戶也只有 23.6%, 提升 2.3%; 同時注意到滯后 1 年以上的手機系統比例明顯有所降低,這也是由于老舊機型逐步淘汰的結果。 綜合對比用戶手機系統的更新狀態、 安卓官方的更新狀態和手機廠商的更新狀態, 我們發現:與安卓官方最新更新情況相比,用戶的手機系統平均滯后了約 12.8 個月,但與手機廠商已經提供該機型的最新版本相比,則平均只滯后了 5.6 個月,由此可見,用戶手機因未能及時更新而存在
40、安全漏洞的重要原因之一, 就是手機廠商普遍未能實現其定制開發的安卓系統與安卓官方同步更新,而且延時較大。 19 第六章 新品手機安全更新情況 由于安卓官方在早期安卓版本中對于安全補丁沒有統一的補丁策略,導致大部分早期手機廠商發布手機產品后即使想對手機系統安全情況予以修補也會受到較大的阻力。 主流消費者在當今所購買的手機是最新款發布的型號, 為了探究主流廠商在今天對于新機型的安全更新情況,即用戶買了手機后,廠商是不是會認真負責去定期更新維護系統,我們特意選取了自 2017 年以來的數據并分析安卓 7.0 及以上手機的安全補丁等級的變化情況。 為了探究主流機型的安全更新情況,我們以不同時間下安全補
41、丁等級的分布情況作為數據信息,經匯總分析后,結果如下圖所示。 圖中橫坐標代表檢測結果中出現的不同安全補丁等級,縱坐標代表我們不同的檢測時期(從 2017 年第二季度至今) 。即圖中色塊表示在檢測結果中的安全補丁等級的分布情況,綜合多次檢測結果即可判斷系統安全補丁等級的變化趨勢。 從圖中我們可以看出,主流機型在 2017 第二季度至 2018 第二季度的過程中,圖中呈現比較明顯的以淺色為主變為深色占比明顯的遷變趨勢。 即設備中安全補丁等級是在隨著時間的推進而不斷更新的,沒有出現大范圍停止更新的情況。事實上,一方面安卓系統安全補丁等級機制為廠商更新系統提供了便利, 另一方面廠商對于主流機型安全更新
42、的也確實在持續投入,因此新品手機的持續安全更新情況,較以往有了較大的改善。這說明主流手機廠商不再是消費者所抱怨“只管賣不管維護”的極端情況了,廠商在手機安全方面做了一定的努力,有了顯著的效果。對于消費者來說,在進行手機的更新換代時可以更加放心的去選擇有持續安全更新的廠商。 20 附錄 此次分析中所檢測的 78 個漏洞的編號如下表所示。 漏洞編號 公布時間 級別 漏洞類型 漏洞簡述 CVE-2016-0838 2016/01/12 嚴重 遠程攻擊 Sonivox 組件中的遠程攻擊漏洞 CVE-2016-0841 2016/02/26 嚴重 遠程攻擊 MetadataRetriever 組件中的遠
43、程攻擊漏洞 CVE-2015-1805 2016/03/18 嚴重 權限提升 Pipe 條件競爭 Root 漏洞 CVE-2016-2430 2016/03/25 嚴重 權限提升 Debuggerd 中的權限提升漏洞 CVE-2016-2463 2016/06/01 嚴重 遠程攻擊 媒體服務進程中的遠程攻擊漏洞 CVE-2016-3861 2016/09/01 嚴重 遠程攻擊 國際編碼漏洞 CVE-2016-5195 2016/12/05 嚴重 權限提升 臟牛漏洞 CVE-2017-0471 2017/03/01 嚴重 遠程攻擊 媒體服務中的遠程攻擊漏洞 CVE-2017-0589 2017/
44、05/01 嚴重 遠程攻擊 媒體服務中的遠程攻擊漏洞 CVE-2015-7555 2017/05/05 嚴重 遠程攻擊 GIFLIB 遠程攻擊漏洞 CVE-2017-0832 2017/11/01 嚴重 遠程攻擊 多媒體服務框架中的權限提升漏洞 CVE-2017-13208 2018/01/01 嚴重 遠程攻擊 dhcp 數據包異常解析漏洞. CVE-2015-1532 2015/01/27 高危 遠程攻擊 9Patch 圖片漏洞 CVE-2015-3849 2015/08/13 高危 權限提升 安卓系統 Region 漏洞 CVE-2015-6764 2015/11/18 高危 遠程攻擊 C
45、hrome v8 破壞者漏洞 CVE-2015-6771 2015/12/01 高危 遠程攻擊 Chrome V8 引擎的遠程攻擊漏洞 CVE-2016-2412 2016/02/26 高危 權限提升 安卓系統服務殺手漏洞 CVE-2016-2416 2016/02/26 高危 信息泄漏 未授權信息泄漏 CVE-2016-0826 2016/03/01 高危 權限提升 媒體服務進程中的權限提升漏洞 CVE-2016-0830 2016/03/01 高危 遠程攻擊 藍牙組件中的遠程攻擊漏洞 CVE-2016-2449 2016/03/25 高危 權限提升 照相機應用中的棧溢出漏洞 CVE-201
46、6-0847 2016/04/02 高危 權限提升 電話應用中的權限提升漏洞 CVE-2016-1646 2016/04/15 高危 遠程攻擊 Chrome V8 引擎中內存越界操作漏洞 CVE-2016-2439 2016/05/01 高危 遠程攻擊 藍牙組件中的遠程攻擊漏洞 CVE-2016-2476 2016/06/01 高危 權限提升 媒體服務進程中的權限提升漏洞 CVE-2016-2495 2016/06/01 高危 遠程攻擊 媒體服務進程中的遠程攻擊漏洞 CVE-2016-3744 2016/07/01 高危 遠程攻擊 藍牙組件中的遠程攻擊漏洞 CVE-2016-3754 2016
47、/07/01 高危 遠程攻擊 媒體服務進程中的遠程拒絕服務漏洞 CVE-2016-3915 2016/10/03 高危 權限提升 照相機應用中的權限提升漏洞 CVE-2016-6754 2016/11/01 高危 遠程攻擊 BadKernel 漏洞 CVE-2016-6710 2016/11/03 高危 信息泄漏 下載管理器中的信息泄漏漏洞 CVE-2016-9651 2016/12/01 高危 遠程攻擊 PwnFest2016 Chrome v8 漏洞 CVE-2017-0386 2017/01/03 高危 權限提升 libnl 庫中的權限提升漏洞 CVE-2017-0387 2017/01
48、/03 高危 權限提升 Android Mediaserver 權限提升漏洞 21 CVE-2017-0421 2017/02/01 高危 信息泄漏 安卓框架中的信息泄漏漏洞 CVE-2017-0412 2017/02/01 高危 權限提升 Android Framework APIs 權限許可和訪問控制漏洞 CVE-2017-5030 2017/03/09 高危 遠程攻擊 Chrome V8 引擎中內存破壞漏洞 CVE-2017-5053 2017/03/29 高危 遠程攻擊 pwn2own2017 遠程執行漏洞 CVE-2016-4658 2017/06/01 高危 遠程攻擊 libxml
49、2 中的遠程攻擊漏洞 CVE-2017-0666 2017/07/01 高危 權限提升 Android Framework 權限許可和訪問控制漏洞 CVE-2017-0669 2017/07/01 高危 信息泄漏 Android Framework 信息泄漏漏洞 CVE-2017-0725 2017/08/01 高危 遠程攻擊 BMP 圖片拒絕服務漏洞 CVE-2017-0771 2017/09/01 高危 遠程攻擊 ICO 圖片中的拒絕服務漏洞 CVE-2017-5116 2017/09/05 高危 遠程攻擊 Chrome V8 引擎中類型混淆漏洞 CVE-2017-0774 2017/10
50、/01 高危 遠程攻擊 MPEG4 中的拒絕服務漏洞 CVE-2017-0672 2017/10/01 高危 遠程攻擊 BMP 圖片中的拒絕服務漏洞 CVE-2017-13156 2017/12/01 高危 權限提升 Android System(art) 權限許可和訪問控制漏洞 CVE-2017-0870 2017/12/01 高危 權限提升 安卓服務框架(libminikin)中的權限提升漏洞 CVE-2017-13199 2018/01/01 高危 遠程攻擊 BMP 圖片解析漏洞. CVE-2018-6064 2018/01/10 高危 遠程攻擊 Chrome V8 引擎中類型混淆漏洞
51、CVE-2017-13232 2018/02/01 高危 信息泄漏 系統音頻服務中的信息泄漏漏洞 CVE-2017-13249 2018/03/01 高危 遠程攻擊 MPEG 視頻文件解析漏洞. CVE-2017-13274 2018/04/08 高危 權限提升 Android 權限許可和訪問控制漏洞 CVE-2017-13287 2018/04/08 高危 權限提升 Android 權限許可和訪問控制漏洞 CVE-2017-13311 2018/05/01 高危 權限提升 Android 權限許可和訪問控制漏洞 CVE-2017-13315 2018/05/01 高危 權限提升 Androi
52、d 權限許可和訪問控制漏洞 CVE-2018-9338 2018/06/01 高危 權限提升 藍牙組件中的權限提升漏洞 CVE-2018-9349 2018/06/01 高危 信息泄漏 libvpx 中的信息泄漏漏洞 CVE-2016-2426 2016/04/02 中危 信息泄漏 安卓框架中的信息泄漏漏洞 CVE-2016-1677 2016/05/25 中危 信息泄漏 Chrome V8 decodeURI 信息泄漏漏洞 CVE-2016-1688 2016/05/25 中危 遠程攻擊 Chrome V8 引擎的信息泄漏漏洞 CVE-2016-2496 2016/06/01 中危 權限提升
53、 安卓框架界面中的權限提升漏洞 CVE-2016-3760 2016/07/01 中危 權限提升 藍牙組件中的權限提升漏洞 CVE-2016-3832 2016/08/01 中危 權限提升 安卓框架界面中的權限提升漏洞 CVE-2016-2497 2016/08/05 中危 權限提升 安卓框架界面中的權限提升漏洞 CVE-2016-3897 2016/09/01 中危 信息泄漏 WIFI 模塊中的信息泄漏漏洞 CVE-2016-3921 2016/10/03 中危 權限提升 安卓框架界面中的權限提升漏洞 CVE-2017-0423 2017/02/01 中危 權限提升 藍牙中的權限提升漏洞 C
54、VE-2017-0495 2017/03/01 中危 信息泄漏 媒體服務中的信息泄漏 CVE-2017-0490 2017/03/01 中危 權限提升 Android Wi-Fi 權限許可和訪問控制漏洞 CVE-2017-0560 2017/04/01 中危 信息泄漏 恢復出廠設置進程中的信息披露漏洞 22 CVE-2017-0553 2017/04/01 中危 權限提升 libnl 中的提權漏洞 CVE-2017-5056 2017/06/01 中危 遠程攻擊 Google xml 中的 UAF 漏洞 CVE-2017-0739 2017/08/01 中危 信息泄漏 Libhevc 中的信息泄漏漏洞 CVE-2017-0820 2017/10/01 中危 遠程攻擊 多媒體服務框架中的遠程攻擊漏洞 CVE-2017-13241 2018/02/01 中危 信息泄漏 AVC 和 MPEG4 編碼器中的漏洞 CVE-2017-13268 2018/03/01 中危 信息泄漏 System(bluetooth)存在信息泄露漏洞 CVE-2018-6136 2018/04/12 中危 遠程攻擊 Chrome V8 引擎中越界訪問漏洞