2018 年度安卓系统安全性生态环境研究 2019 年 1 月 25 日

Size: px

Start display at page:

Download "2018 年度安卓系统安全性生态环境研究 2019 年 1 月 25 日"

绥柳
4 years ago
Views:

1 2018 年度安卓系统安全性生态环境研究 2019 年 1 月 25 日

2 摘要此报告数据来源为 360 透视镜 (360 团队发布的一款专业检测手机安全漏洞的 APP, 用户主动上传的 84 万份漏洞检测报告, 检测内容包括最近两年的 Android 和 Chrome 安全公告中检出率最高的 89 个漏洞, 涵盖了 Android 系统的各个层面检测结果显示, 截止至 2019 年 1 月, 所测设备中 99.99% 的 Android 手机存在安全漏洞, 仅有 0.01% 的设备完全没有检测出漏洞, 同比 2017 年, 手机安全程度呈下降趋势 Android 版本占比最高的 3 个版本分别为 Android 6.0 Android 5.1 和 Android 7.1, 比例分别为 40% 25% 和 14% 与上半年相比, 用户整体的版本的更新有所推进, 低版本系统 5.1 和 4.4 数量不断减少,Android 8.0 和 8.1 数量持续在提升, 最新的 Android 9.0 版本占比也达到了 0.2% 左右从漏洞分布上看,Android 版本高低和漏洞数量多少并没有严格的线性关系, 由于 Google 目前只对 7.0 及以上系统提供安全更新, 所以在高版本系统 (7.0 及以上版本 ) 上, 漏洞数量明显减少用户手机的平均漏洞数量存在比较明显的地域特征, 北京广东等地区的用户手机平均漏洞数量最少, 黑龙江吉林青海等地区的用户手机漏洞数量相对较多, 这一数据的顺序较上半年略有变化不同性别的用户平均系统版本较上一季度均有所提升, 男性用户的手机平均系统版本高于女性用户, 女性用户的手机平均漏洞数量高于男性用户其中 99.1% 的设备存在浏览器内核相关漏洞, 浏览器内核漏洞最多的设备同时存在 5 个漏洞, 有近半数的设备浏览器内核漏洞数达到 3 个以上, 仅有 0.9% 的设备不受浏览器内核漏洞影响安卓手机用户中, 约有 46.7% 的用户会保持手机系统 ( 特指安全补丁等级 ) 版本与厂商所提供的最新版本保持一致, 约有 10.7% 的用户的手机系统版本会滞后厂商最新版本 1 到 3 个月, 接近 6.1% 的用户会滞后 4 到 6 个月, 其余用户会滞后半年以上与安卓官方最新更新情况相比, 滞后一年以上的手机占 52%, 与安卓官方保持同步的手机仅占 1% 由此可见, 用户手机因未能及时更新而存在安全漏洞的重要原因之一, 就是手机厂商普遍未能实现其定制开发的安卓系统与 Google 官方同步更新, 而且滞后性比较明显关键词 : 安卓安全安卓漏洞漏洞检测

3 目录研究背景... 1 第一章手机系统安全性综述... 1 一系统漏洞的危险等级... 1 二系统漏洞的危害方式... 1 三系统浏览器内核的安全性... 3 四系统漏洞的数量分布... 5 五手机安全生态宏观描述... 6 第二章手机系统版本安全性... 8 一各系统版本漏洞情况... 8 二安卓系统漏洞缓解措施... 9 第三章手机系统安全性地域分布第四章手机系统安全性与用户性别的相关性第五章手机系统安全漏洞的修复一厂商漏洞修复情况二用户主动升级意愿三漏洞修复综合分析第六章新品手机安全更新情况附录... 20

4 研究背景在中国,Android 系统作为智能手机中市场占有率最高的移动操作系统, 承载着亿万手机用户的生产生活, 大量的 Android 开发人员为其添砖加瓦但树大招风,Android 智能手机也暴露在各种恶意软件系统漏洞的威胁之中, 无数恶意软件电信诈骗不断挑战用户的安全意识, 但各种隐藏在系统之中的系统漏洞对用户的手机安全影响更为可怕由于 Android 操作系统目前仍未有非常完善的补丁机制为其修补系统漏洞, 再加上 Android 系统碎片化严重, 各手机厂商若要为采用 Android 系统的各种设备修复安全问题则需投入大量人力物力随着各种系统漏洞的不断披露, 现存的 Android 智能手机就像一艘漏水的船, 纵然手机安全软件能够缓解一些安全隐患, 但系统中的漏洞仍未能有效修补, 攻击大门依旧打开而 Android 平台之上的安全软件又无法被授予系统的最高权限, 因而 Android 系统安全问题一直非常棘手为了让消费者了解到自己手机的安全性,360 历时一年打造了中国第一个 Android 平台的手机漏洞检测工具 360 透视镜 ( 并向社会公开, 任何用户和个人都可下载安装 360 透视镜应用依据 Android 官方提供的安全补丁更新通知作为漏洞信息来源, 在 Android 系统上实现了无需申请敏感权限即可检测 Android 系统中存在的漏洞这一核心功能, 降低了用户了解自己手机安全状况的限制门槛此报告基于 360 透视镜应用用户主动上传的 84 万份漏洞检测报告, 检测内容包括近两年 ( 最新漏洞检测更新至 2018 年 12 月 )Android 与 Chrome 安全公告中检出率最高的 89 个漏洞, 涵盖了 Android 系统的各个层面, 且都与具体设备的硬件无关我们统计并研究了样本中的漏洞测试结果数据, 并对安全状况予以客观具体的量化, 希望引起用户和厂商对于手机系统漏洞的关注与重视, 为 Android 智能手机用户的安全保驾护航, 并希望以此来推进国内 Android 智能手机生态环境的安全健康地发展 1

第一章手机系统安全性综述一系统漏洞的危险等级此次报告评测的 89 个系统漏洞, 按照 Google 官方对系统漏洞的危险评级标准, 按照危险等级递减的排序规则, 共分为严重高危中危三个级别严重级别的漏洞对系统的安全性影响最大, 其次为高危级别漏洞, 然后为中危级别漏洞, 低危级别漏洞未入选在这 89 个漏洞中, 按照其危险等级分类, 有严重级别漏洞 13 个,

5 第一章手机系统安全性综述一系统漏洞的危险等级此次报告评测的 89 个系统漏洞, 按照 Google 官方对系统漏洞的危险评级标准, 按照危险等级递减的排序规则, 共分为严重高危中危三个级别严重级别的漏洞对系统的安全性影响最大, 其次为高危级别漏洞, 然后为中危级别漏洞, 低危级别漏洞未入选在这 89 个漏洞中, 按照其危险等级分类, 有严重级别漏洞 13 个, 高危级别漏洞 56 个, 中危级别漏洞 20 个其中高危以上漏洞对用户影响较大, 在此次安全评测中对此类漏洞的选取比例达 77.5% 此次系统安全分析结果显示 : 93% 的 Android 设备受到中危级别漏洞的危害,99.9% 的 Android 设备存在高危漏洞,60.5% 的 Android 设备受到严重级别的漏洞影响二系统漏洞的危害方式此次报告评测的 89 个系统漏洞, 参照 Google 官方对系统漏洞的技术类型分类标准并加以适当合并, 按照各漏洞的明显特征分类, 共分为远程攻击权限提升信息泄漏三个类别远程攻击漏洞是指攻击者可以通过网络连接对用户的系统进行远程攻击的漏洞, 权限提升是指攻击者可以将自身所拥有的权限得以提升的漏洞, 信息泄漏则为可以获得系统或用户敏感信息的漏洞在这 89 个漏洞中, 按照其危害方式分类, 包括远程攻击漏洞 38 个, 权限提升漏洞 33 个, 信息泄漏漏洞 18 个此次系统安全分析结果显示 :99.8% 的设备存在远程攻击漏洞,89.7% 的设备存在权限提升漏洞,95.6% 的设备存在信息泄漏漏洞与上半年检测结果相比, 信息泄漏漏洞占比增加, 导致信息泄漏漏洞影响的设备比例增加比较明显 ; 权限提升类漏洞影响设备占比有所降 1

低, 远程攻击类漏洞影响设备占比一直居高不下为了观察不同类别的漏洞中哪些影响的设备比例最多, 我们分别对三种类别的漏洞进行统计排序, 挑选出了各类别中影响设备比例占比前三名的漏洞, 其中影响最广泛的漏洞为权限提升漏洞 CVE-2018-9467,89.

9% 的设备 ; 远程攻击漏洞中,CVE-2015-7555 被 CVE-2018-9491 取代成为影响设备最多的远程攻击漏洞, 影响 57.

6 低, 远程攻击类漏洞影响设备占比一直居高不下为了观察不同类别的漏洞中哪些影响的设备比例最多, 我们分别对三种类别的漏洞进行统计排序, 挑选出了各类别中影响设备比例占比前三名的漏洞, 其中影响最广泛的漏洞为权限提升漏洞 CVE ,89.1% 的设备都存在这个漏洞, 该漏洞影响范围如此广泛主要是因为该漏洞影响 Android 版本范围是 4.4 到 9.0; 信息泄漏漏洞中,CVE 已经跌到第三位, 仅影响 58.9% 的设备, 取而代之的是 CVE , 影响 73.9% 的设备 ; 远程攻击漏洞中,CVE 被 CVE 取代成为影响设备最多的远程攻击漏洞, 影响 57.3% 的设备虽然三种类型漏洞中影响设备排名第一的都是新加入的漏洞, 但是历史漏洞的影响范围依然十分庞大比如 CVE 和 CVE , 这两个漏洞分别是 Google 在 2017 年 5 月和 7 月安全公告中公开的漏洞, 目前依然影响 51.6% 和 48.4% 的设备对比本季度的数据中可以发现, 历史漏洞的影响比例整体有所下降, 但新旧漏洞如同波浪一般, 层出不穷 2

并且形式依然严峻这表明随着新机型的加入和系统的更新, 安卓设备的安全性整体处于不断推进安全更新的过程之中远程攻击漏洞, 是危险等级高被利用风险最大的漏洞, 也是我们最关注的漏洞, 为此我们从 2016 年第四季度开始, 跟踪了四个比较重要的远程攻击漏洞的影响趋势变化, 如下图所示整体趋势上看, 随着时间的推移, 这四个远程攻击漏洞的影响力在不断减小, 但是截至 2018 年四季度,

7 并且形式依然严峻这表明随着新机型的加入和系统的更新, 安卓设备的安全性整体处于不断推进安全更新的过程之中远程攻击漏洞, 是危险等级高被利用风险最大的漏洞, 也是我们最关注的漏洞, 为此我们从 2016 年第四季度开始, 跟踪了四个比较重要的远程攻击漏洞的影响趋势变化, 如下图所示整体趋势上看, 随着时间的推移, 这四个远程攻击漏洞的影响力在不断减小, 但是截至 2018 年四季度, 这四个漏洞依然影响近 40% 的用户手机安全但是随着新的远程攻击漏洞的加入, 受远程攻击漏洞影响的设备比例会更高, 安全形势不容乐观三系统浏览器内核的安全性系统浏览器内核是用户每日使用手机时接触最多的系统组件, 不仅仅是指用户浏览网页的独立浏览器, 实际上, 许多安卓应用开发者考虑到开发速度保障不同设备之间的统一性等因素, 会使用系统提供的浏览器内核组件因而用户在每日的手机使用中, 大多会直接或间接地调用系统浏览器内核在此次评测中, 系统浏览器内核是指 Android 系统的 Webview 组件的核心, 在 Android 4.4 之前,Android 系统的 Webview 是基于 Webkit 的, 在 Android 4.4 及以后的系统中,Webview 的核心被换成了 Chromium(Chrome 的开源版本, 可近似理解为 Chrome) 在最新统计的样本中,Webkit 所占比重几乎为 0, 与 2017 年度相似, 说明 4.3 及以下系统手机已经几乎淡出历史舞台截止至本季度, 当前 Google 发布的 Android 平台 Chrome 稳定版的内核的最新版本为 Chrome 71, 而在此次检测中有约 0.2% 的用户将自己手机中的浏览器内核升级至最新而从图中可以看出,Chrome 内核版本大于等于 55 的设备占 39%, 较 2017 年 12 月的 24% 提升 15% 对比上半年的数据, 版本大于 50 的设备比例有所增长, 从 44% 增至 48% 在此次检测中, 浏览器更新情况有了很大提升, 说明国内厂商有更新浏览器内核的举措同时, 在检测样本中, 出现了用户主动更新浏览器内核的情况, 有部分用户手动升级了 Chrome 内核至 72Beta 版, 说明用户对于安全更新是十分渴求的总的来说, 浏览器内核整体版本有所跟新推进, 国内安卓系统生态圈中对浏览器内核的更新进度相对有 3

2 个漏洞, 浏览器漏洞也是在不断出现并威胁着浏览器的安全以上数据充分说明保持最新版本的浏览器内核可以十分有效增强手机浏览器内核的安全性浏览器内核漏洞多数可通过远程方式利用, 因而对于用户的手机安全危害较大

8 所增强为了研究不同浏览器内核版本的安全性, 我们统计了不同版本的浏览器内核的平均漏洞个数下图显示了不同 Webview 版本平均漏洞数量, 其中内核版本在 Chrome 55 以下的版本中漏洞数量明显高于 Chrome 55 以上版本,Chrome 65 以上版本漏洞数量相对最少从图中可以看出较新版本浏览器内核漏洞数量相对较少, 其中 Chrome 71 版本及以上的设备平均漏洞检出情况则为 0 同时,2017 年度未检测出漏洞的 57 版本在今天也检测出了存在 2 个漏洞, 浏览器漏洞也是在不断出现并威胁着浏览器的安全以上数据充分说明保持最新版本的浏览器内核可以十分有效增强手机浏览器内核的安全性浏览器内核漏洞多数可通过远程方式利用, 因而对于用户的手机安全危害较大安卓系统浏览器内核漏洞的分布情况如下图所示其中 99.1% 的设备存在至少一个浏览器内核漏洞, 16.6% 的设备同时存在 4 个浏览器内核漏洞, 漏洞数量最多的设备同时存在 5 个漏洞仅有 0.9% 的设备不受浏览器漏洞影响与上半年数据相比, 存在浏览器内核漏洞的设备占比没 4

用户依然暴露在浏览器漏洞的威胁之中四系统漏洞的数量分布为了研究用户手机中漏洞数量的分布规律和对用户手机中的安全等级做一个直观的评分, 我们统计了所有样本中手机存在漏洞个数的比例分布,

9 有变化, 仍为 99.1%, 但设备的平均浏览器内核漏洞个数是有所降低的所以整体来看浏览器升级情况有所提升, 浏览器内核版本的更新缓解了一部分老旧漏洞的影响, 但新漏洞的出现瞬间挑战了大量设备的安全性, 用户依然暴露在浏览器漏洞的威胁之中四系统漏洞的数量分布为了研究用户手机中漏洞数量的分布规律和对用户手机中的安全等级做一个直观的评分, 我们统计了所有样本中手机存在漏洞个数的比例分布, 结果如下图所示在此次测试中, 我们检测了 89 个已知漏洞, 有 99.99% 的设备存在至少一个安全漏洞, 这一数据较 2017 年 93.94% 的比例提升明显, 较上半年 99.97% 的比例略有提升, 漏洞最多的设备同时包含有 61 个安全漏洞存在 10 个 20 个及以上漏洞的比例有所降低, 但依然保持较高的比例为了研究近两年用户手机中漏洞数量的变化, 同时反映用户手机安全性的变化情况, 我 5

虽然国内厂商在不断地对安卓设备进行安全更新, 但是安全漏洞也层出不穷, 存在漏洞的设备比重仍然居高不下五手机安全生态宏观描述

10 们总结了自 2016 年至今的漏洞数量比例分布及趋势, 结果如下图所示可以发现, 手机存在漏洞的比例整体居高不下, 同时若增加检测力度, 用户手机整体的安全形势将会表现的更加严峻如果手机厂商积极做好手机系统的安全补丁更新工作, 现行手机系统的安全防护能力就会有明显的提升虽然国内厂商在不断地对安卓设备进行安全更新, 但是安全漏洞也层出不穷, 存在漏洞的设备比重仍然居高不下五手机安全生态宏观描述为了研究用户手机中漏洞数量的宏观情况, 我们统计了如下宏观描绘图其中, 各个独立的方块都代表一款具体型号的安卓设备 ; 方块面积表示该型号设备使用人数的多少, 使用的人数越多则相应面积越大 ; 其颜色由绿色到红色之间的渐变代表了该型 6

11 号设备的平均安全水平由图中可以看出, 对于市场占有率高的产品其安全更新情况更加乐观一些对比上一季度, 新设备的安全补丁更新情况有了很大的进步, 厂商对于手机系统安全补丁的重视程度和投入有了明显的改善, 多数国内主流厂商均有更新推送新设备的安全补丁, 一线厂商则将系统更新至与安卓官方同步 ( ), 但宏观上看安全情况更加严峻, 主要原因是新设备所占比例相对较低, 正在使用的设备绝大部分还是难以更新的老旧设备 7

第二章手机系统版本安全性一各系统版本漏洞情况由于 Android 系统在升级时不可直接跨版本升级而厂商往往又不愿意为旧机型耗费人力物力适配新系统, 因而在一定程度上导致了 Android 系统版本的碎片化为了研究不同版本的安卓系统的安全性, 我们统计了样本手机所使用的安卓版本分布, 并进一步对这些不同的版本的漏洞数量进行了统计分析采用 Android 系统版本的分布情况如下图所示,

12 第二章手机系统版本安全性一各系统版本漏洞情况由于 Android 系统在升级时不可直接跨版本升级而厂商往往又不愿意为旧机型耗费人力物力适配新系统, 因而在一定程度上导致了 Android 系统版本的碎片化为了研究不同版本的安卓系统的安全性, 我们统计了样本手机所使用的安卓版本分布, 并进一步对这些不同的版本的漏洞数量进行了统计分析采用 Android 系统版本的分布情况如下图所示, 在此次样本中,Android 系统占比最高的 3 个版本分别为 Android 6.0 Android 5.1 和 Android 7.1, 比例分别达到 40% 25% 和 14%, Android 4.4 已经跌出 Top3 Android 8.0 和 8.1 系统也各有约 2% 的占比, 而最新版的 Android 9.0 版本比例仅为 0.2% 与 2017 年相同,Android 6.0 依旧为最流行的系统版本, 但 6.0 及更高的系统版本所占比例有了明显提升, 这与历史进程和我们的预期均相符 Android 5.1 和 Android 4.4 所占比例继续降低, 但低于 6.0 版本的设备依然占据了约 39% 的比例 Android 8.0 和 8.1 的比例有一定幅度的上升, 同时出现了少量的 Android 9.0 版本, 这不光意味着版本号上的更新, 更意味着更多的用户能够享受到新版 Android 系统所带来的一系列安全更新, 其中包括更先进的隐私敏感权限动态管理功能和更新功能, 而这在一定程度上也极大的增强了用户手机隐私的安全性在 Android 8.0 引入了一项叫做 Project Treble 的功能, 可以缓解安卓系统更新滞后的问题, 我们也希望看到这一功能得以最大化发挥作用但由于 Google 官方对此技术的要求为 : 出厂预置 8.0 及更高系统的新手机必须支持 Project Treble, 出厂预置低于 8.0 的系统在升级 8.0 后可选配置 Project Treble, 根据我们观察, 目前有许多设备虽然升级到了 8.0, 但仍不支持 Project Treble, 新系统新设备仍无法获得 Google 官方的安全更新, 故短时间内, 安卓系统的碎片化和老旧设备的比例依然会保持较高比例, 安全状况依然形势严峻通过对每个 Android 版本平均漏洞数量进行统计, 得到如下图所示结果从图中可看出 Android 5.1 及其以下版本平均漏洞数量较多, 且整体较上一季度的平均漏洞数保持增加趋 8

13 势, 这很大程度上是由于部分老旧设备无法获得更新而我们检测的漏洞又在持续增加, 因此造成了这种现象 ; 而 Android 7.1 以上系统则更为安全, 平均漏洞数量急剧降低从图中可以看出, 安卓系统版本与漏洞数量并不是简单的线性关系 Android 5.0 以下版本漏洞数量随版本升高而递增, 并不是说明 Android 版本越高越不安全, 而是因为此次检测主要关注的是最近两年的漏洞, 相对版本越老的 Android 系统因为不支持较新的功能而可能不存在相应的漏洞另外, 由于 Google 已经不再为 Android 6.0 及以下系统版本提供安全更新, 导致相对于去年的检测数据,Android 6.0 及以下系统的平均漏洞数一直居高不下反观对于 Android 7.0 及以上系统版本, 由于持续的安全补丁推送, 平均漏洞数相对低很多实际上系统的安全性受到厂商重视度系统功能的多少与变动, 甚至服役时间普及程度恶意攻击者的攻击价值等等因素的共同影响, 但修补了历史已知漏洞的最新系统往往会相对安全些二安卓系统漏洞缓解措施随着 Android 版本号的提升, 其安全手段与漏洞缓解措施也在逐次加固通常来说, 版本越新的安卓系统, 其安全防护手段越强, 系统漏洞利用的难度也越大例如, 从 Android 4.3 开始, 安卓开始引入 SE Linux 沙盒机制, 并在后续的版本中不断对其进行加固, 从 Android 5.0 开始, 引入全盘加密, 以保证用户的信息安全 Android 7.0 中提供了基于文件的加密, 进一步保证了用户的信息安全 ; 并实现了深层次的地址随机化机制, 使得本地权限提升的攻击难度显著提高该版本 Android 系统中 Google 工程师对 Media Server 进行了重构, 将其按照最小权限原则将之分隔成多个独立的进程与组件, 从而即使其中某一个进程或组件存在漏洞, 攻击者也无法直接在别的进程空间内执行代码 ; 并且在整个 Media Server 的编译过程中新增了整型溢出防护机制, 从而从编译阶段杜绝类似于 Stagefright 漏洞利用情况的出现在 Android 8.1 中, 系统的安全性又进一步增强, 如引进 Project Treble, 进一步提升了对设备特定组件的攻击保护 ;Webview 方面也有提升,Android 8.0 中 Webview 运行在独立的沙箱进程中, 对系统其余部分的访问非常有限最新的 Android 9.0 也加入了很多安全特性, 如新的硬件安全性模块, 具有密钥轮转的 APK 签名方案等, 可以更加有效的保护用户的设备及应用安全 9

14 不论从漏洞数目, 还是漏洞防护机制上, 最新版本的安卓系统均比低版本安卓系统安全性更好而国内由于安卓碎片化的情况, 仍存在大量低版本的带有漏洞的安卓设备 10

第三章手机系统安全性地域分布正如电信诈骗伪基站等有明显的地域分布特征, 为了更加细致地探究系统漏洞与不同省市之间的关系, 我们根据样本数据中地域信息进行了统计和分析下图为各省份平均每台手机漏洞数量, 数值越大, 说明该地域安卓手机的安全性相对越低越不安全 ; 数字越小,

15 第三章手机系统安全性地域分布正如电信诈骗伪基站等有明显的地域分布特征, 为了更加细致地探究系统漏洞与不同省市之间的关系, 我们根据样本数据中地域信息进行了统计和分析下图为各省份平均每台手机漏洞数量, 数值越大, 说明该地域安卓手机的安全性相对越低越不安全 ; 数字越小, 则代表该地域安卓手机的安全性越高手机安全性最低的前三名为黑龙江吉林青海, 平均每台手机拥有漏洞数分别为个而安全性最高的前三名为广东北京福建, 平均每台手机拥有漏洞数大致上, 经济越发达的地区, 用户所使用的手机的平均漏洞数量越少, 手机安全性相对越高 11

16 用热力图表示如上图所示, 可以更好的看出平均漏洞数的地域分布特征颜色越红的地区, 手机的安全性越低, 颜色越浅的地区, 手机安全性越高 12

不同手机又会有不同的策略为了探究手机系统的安全性与用户性别之间有无联系, 我们调研了 1000 位用户的性别信息, 统计了不同性别用户与其手机的安全性之间可能的关系

17 第四章手机系统安全性与用户性别的相关性由于性别上天生的性格喜好等的差异, 不同性别的用户在选择手机时可能会有不同的侧重点, 比如女性用户可能在外观轻薄颜色等方面着重考虑, 而男性可能更侧重性能屏幕尺寸等因素一部手机在其服役周期内也可能会因时间的推移而被不同的使用者所使用, 而厂商在手机的升级维护中, 不同手机又会有不同的策略为了探究手机系统的安全性与用户性别之间有无联系, 我们调研了 1000 位用户的性别信息, 统计了不同性别用户与其手机的安全性之间可能的关系从上图中, 我们可以清晰的看出 : 在此次评测中, 男性与女性使用的平均版本差异不大, 与上半年数据相比, 整体比例无过大变化, 只是 7.1 及以上的新版本系统所占比例提升比较明显 13

18 不同性别用户手机系统中存在的漏洞情况如上图所示我们可以看到女性手机的平均系统版本数值约为 22.5 ( 数值为系统 API 版本, 为 Google 官方为便于安卓版本的计数而提供的一个版本的数字代号, 其中 5.0 为 21,5.1 为 22,6.0 为 23), 即平均使用的系统版本在 Android 5.1 和 6.0 之间, 而男性使用的平均版本号也为 22.7, 与女性用户平均使用的 Android 版本号十分接近, 但男性用户的手机平均手机版本还是略高于女性用户对比上半年数据, 男性和女性的平均系统版本均有所提升, 但平均来看, 女性提升幅度较小, 仅为 0.8%, 而男性用户则平均提升了 1.8% 在此次统计中, 无论男性还是女性用户, 平均漏洞个数均有所提升其中, 女性手机平均漏洞个数提升较为明显, 较上季度增加幅度为 12.7%, 而男性用户平均漏洞数量增加幅度仅为 5% Android 5.1 版本漏洞较多同样体现在了这次的报告当中, 可以看到, 女性用户手机版本号更接近 5.1 版本, 对应的漏洞数量也要多一些这和我们所述的对于不同版本的安卓系统中高于 5.1 版本的系统平均漏洞个数开始递减的结论保持一致 14

第五章手机系统安全漏洞的修复受到 Android 系统的诸多特性的影响, 系统版本的碎片化问题日益突出就每一款手机而言, 厂商在其维护周期内, 通常会隔一段时间向用户推送一次升级版本, 而用户在大多数情况下可以自主选择升级或不升级综合这些特性, 在 Android 系统的安全漏洞方面, 也产生了严重的碎片化问题在 Android 系统中, 存在一个名为 Android 安全补丁级别

19 第五章手机系统安全漏洞的修复受到 Android 系统的诸多特性的影响, 系统版本的碎片化问题日益突出就每一款手机而言, 厂商在其维护周期内, 通常会隔一段时间向用户推送一次升级版本, 而用户在大多数情况下可以自主选择升级或不升级综合这些特性, 在 Android 系统的安全漏洞方面, 也产生了严重的碎片化问题在 Android 系统中, 存在一个名为 Android 安全补丁级别的字段, 它是 Google 公司向第三方安卓手机厂商推送的一个 Android 安全补丁的日期号, 旨在为安卓设备的已知漏洞的修复情况做一个简单的说明当前 Google 对于 Android 7.0 及其上版本号的安卓系统会定期推送更新, 如果厂商遵循 Google 公司的建议正确打入补丁, 那么手机中显示的安全补丁级别越高, 即日期越新, 手机的安全情况就相对越安全为了探究手机系统中已知安全漏洞的修复情况, 我们对样本中不同设备型号不同系统安全漏洞的修复情况做了相关研究一厂商漏洞修复情况为了探究国内厂商为现存设备修复安全漏洞的情况, 我们统计了样本中不同厂商手机目前的安全补丁级别情况下图为各厂商手机中实际存在的安全补丁级别情况, 该情况是将各厂商现存手机中实际补丁日期与 Google 官方最新版本 (2018 年 12 月 ) 版本对比, 综合安全补丁级别最高最新的手机品牌前 5 名图中绿色方块面积越大, 说明该厂商的手机补丁级别相对越高, 漏洞修复相对越及时 ; 相反, 如果黄色和橙色面积越大, 则说明补丁级别越低, 漏洞修复越滞后图中我们可以看出, 在及时推送安全补丁级别方面,TOP5 的厂商在本年度检测结果显示较好, 而且在本年度调研中这五个厂商均有保持与谷歌最新安全补丁同步的更新提供, 相较 2018 年上半年安全补丁更新情况也有所改善, 这也显示了厂商对于用户手机中安全补丁 15

等级的逐步重视二用户主动升级意愿为了探究用户主动升级系统的意愿, 我们统计了不同厂商不同机型不同安全补丁级别的分布情况此统计为在每个机型中, 观察用户是否主动保持这个厂商对此机型提供最新版本整体上, 可以明显发现近半的用户还是很有安全意识的, 从统计数据中可以看出, 约有 46.

20 等级的逐步重视二用户主动升级意愿为了探究用户主动升级系统的意愿, 我们统计了不同厂商不同机型不同安全补丁级别的分布情况此统计为在每个机型中, 观察用户是否主动保持这个厂商对此机型提供最新版本整体上, 可以明显发现近半的用户还是很有安全意识的, 从统计数据中可以看出, 约有 46.7% 的用户能够保持手机系统中安全补丁等级的版本与厂商所能提供的最新版本保持一致, 这一比例相较 2018 年上半年提升了 4.7 % 总体而言, 更新滞后的平均时间在缩短但是仍有 10.7% 的用户的系统版本滞后厂商最新版本 1-3 个月, 大约 6.1% 的用户手机版本滞后 4-6 个月, 约 14.6% 的用户手机版本滞后半年以上, 有 21.8% 的用户手机版本滞后官方最新版本达一年以上, 而这些用户将比保持系统更新的用户暴露在更多的漏洞与更高的攻击风险之中我们还统计了近两年来用户与手机厂商保持更新的比例变化情况, 如下图所示 16

整体来说, 近半用户还是会愿意保持系统更新至最新版本, 但是保持更新的比例并没有呈现上升趋势, 而且更新比例仍然偏低, 一半以上的用户手机处于高风险状态但值得注意的是,2018 年第四季度保持系统更新的用户比例有明显提升, 一方面是 Google 加强了版本更新控制, 一方面也体现了手机用户安全意识的提升对于安卓手机用户来说, 其手机操作系统大多由手机厂商在其维护周期内提供更新

21 整体来说, 近半用户还是会愿意保持系统更新至最新版本, 但是保持更新的比例并没有呈现上升趋势, 而且更新比例仍然偏低, 一半以上的用户手机处于高风险状态但值得注意的是,2018 年第四季度保持系统更新的用户比例有明显提升, 一方面是 Google 加强了版本更新控制, 一方面也体现了手机用户安全意识的提升对于安卓手机用户来说, 其手机操作系统大多由手机厂商在其维护周期内提供更新但往往会有用户手机服役周期超出厂商维护周期 ( 通常为两年 ) 的情况, 此时, 考虑到手机硬件条件用户体验等问题, 大多数厂商通常都不会再提供系统更新服务, 也因此会导致某些手机机型系统无法与最新的安卓版本保持一致从移动网络安全角度来看, 我们建议手机厂商在不影响用户体验的基础上, 尽量为手机用户提供系统漏洞安全补丁方面的更新, 以保护用户移动安全不受影响三漏洞修复综合分析下图给出了用户手机系统与安卓官方系统手机厂商系统的更新情况对比 17

可以看到, 近一半的手机用户能够保持手机系统与厂商最新系统的同步更新, 且近 6 成用户能够在厂商推出更新版本后三个月内更新自己的手机但能够享受与安卓官方最新系统保持同步更新服务的用户则仅为 1.0%, 较 2018 年第二季度比例有所下降 ; 滞后时间小于 3 个月的用户也只有 7.5%, 下降 16.

22 可以看到, 近一半的手机用户能够保持手机系统与厂商最新系统的同步更新, 且近 6 成用户能够在厂商推出更新版本后三个月内更新自己的手机但能够享受与安卓官方最新系统保持同步更新服务的用户则仅为 1.0%, 较 2018 年第二季度比例有所下降 ; 滞后时间小于 3 个月的用户也只有 7.5%, 下降 16.1%; 同时注意到滞后 1 年以上的手机系统比例明显有所提升, 这也是由于老旧机型逐步淘汰的结果可以看出,Google 公司推出安全更新的速度正在加快, 但厂商和手机用户安全更新的速度相对较慢综合对比用户手机系统的更新状态安卓官方的更新状态和手机厂商的更新状态, 我们发现 : 与安卓官方最新更新情况相比, 用户的手机系统平均滞后了约 10.9 个月, 但与手机厂商已经提供该机型的最新版本相比, 则平均只滞后了 5.1 个月, 尽管这两个数据较 2018 年第二季度已经有所降低, 但用户手机因未能及时更新而存在安全漏洞的重要原因仍然是手机厂商普遍未能实现其定制开发的安卓系统与安卓官方同步更新, 而且延时较大 18

第六章新品手机安全更新情况由于安卓官方在早期安卓版本中对于安全补丁没有统一的补丁策略, 导致大部分早期手机厂商发布手机产品后即使想对手机系统安全情况予以修补也会受到较大的阻力主流消费者在当今所购买的手机是最新款发布的型号, 为了探究主流厂商在今天对于新机型的安全更新情况, 我们特意选取了自 2017 年以来的数据并分析安卓 7.

23 第六章新品手机安全更新情况由于安卓官方在早期安卓版本中对于安全补丁没有统一的补丁策略, 导致大部分早期手机厂商发布手机产品后即使想对手机系统安全情况予以修补也会受到较大的阻力主流消费者在当今所购买的手机是最新款发布的型号, 为了探究主流厂商在今天对于新机型的安全更新情况, 我们特意选取了自 2017 年以来的数据并分析安卓 7.0 及以上手机的安全补丁更新情况为了探究主流机型的安全更新情况, 我们以不同时间下安全补丁等级的分布情况作为数据信息, 经汇总分析后, 结果如下图所示图中横坐标代表检测结果中出现的不同安全补丁等级, 纵坐标代表我们不同的检测时期 ( 从 2017 年第二季度至今 ) 即图中色块表示在检测结果中的安全补丁等级的分布情况, 综合多次检测结果即可判断系统安全补丁等级的变化趋势从图中我们可以看出, 主流机型在 2017 第二季度至 2018 第四季度的过程中, 图中呈现比较明显的以浅色为主变为深色占比明显的迁变趋势即设备中安全补丁等级是在随着时间的推进而不断更新的, 没有出现大范围停止更新的情况事实上, 一方面安卓系统安全补丁等级机制为厂商更新系统提供了便利, 另一方面厂商对于主流机型安全更新的也确实在持续投入, 因此新品手机的持续安全更新情况, 较以往有了较大的改善这说明主流手机厂商不再是消费者所抱怨只管卖不管维护的极端情况了, 厂商在手机安全方面做了一定的努力, 有了显著的效果对于消费者来说, 在进行手机的更新换代时可以更加放心的去选择有持续安全更新的厂商 19

24 附录此次分析中所检测的 89 个漏洞的编号如下表所示漏洞编号公布时间级别漏洞类型漏洞简述 CVE /01/12 严重远程攻击 Sonivox 组件中的远程攻击漏洞 CVE /02/26 严重远程攻击 MetadataRetriever 组件中的远程攻击漏洞 CVE /03/18 严重权限提升 Pipe 条件竞争 Root 漏洞 CVE /03/25 严重权限提升 Debuggerd 中的权限提升漏洞 CVE /06/01 严重远程攻击媒体服务进程中的远程攻击漏洞 CVE /09/01 严重远程攻击国际编码漏洞 CVE /12/05 严重权限提升脏牛漏洞 CVE /03/01 严重远程攻击媒体服务中的远程攻击漏洞 CVE /05/01 严重远程攻击媒体服务中的远程攻击漏洞 CVE /05/05 严重远程攻击 GIFLIB 远程攻击漏洞 CVE /11/01 严重远程攻击多媒体服务框架中的权限提升漏洞 CVE /01/01 严重远程攻击 dhcp 数据包异常解析漏洞. CVE /01/27 高危远程攻击 9Patch 图片漏洞 CVE /08/13 高危权限提升安卓系统 Region 漏洞 CVE /11/18 高危远程攻击 Chrome v8 破坏者漏洞 CVE /12/01 高危远程攻击 Chrome V8 引擎的远程攻击漏洞 CVE /02/26 高危权限提升安卓系统服务杀手漏洞 CVE /02/26 高危信息泄漏未授权信息泄漏 CVE /03/01 高危权限提升媒体服务进程中的权限提升漏洞 CVE /03/01 高危远程攻击蓝牙组件中的远程攻击漏洞 CVE /03/25 高危权限提升照相机应用中的栈溢出漏洞 CVE /04/02 高危权限提升电话应用中的权限提升漏洞 CVE /04/15 高危远程攻击 Chrome V8 引擎中内存越界操作漏洞 CVE /05/01 高危远程攻击蓝牙组件中的远程攻击漏洞 CVE /06/01 高危权限提升媒体服务进程中的权限提升漏洞 CVE /06/01 高危远程攻击媒体服务进程中的远程攻击漏洞 CVE /07/01 高危远程攻击蓝牙组件中的远程攻击漏洞 CVE /07/01 高危远程攻击媒体服务进程中的远程拒绝服务漏洞 CVE /10/03 高危权限提升照相机应用中的权限提升漏洞 CVE /11/01 高危远程攻击 BadKernel 漏洞 CVE /11/03 高危信息泄漏下载管理器中的信息泄漏漏洞 CVE /12/01 高危远程攻击 PwnFest2016 Chrome v8 漏洞 CVE /01/03 高危权限提升 libnl 库中的权限提升漏洞 CVE /01/03 高危权限提升 Android Mediaserver 权限提升漏洞 CVE /02/01 高危信息泄漏安卓框架中的信息泄漏漏洞 CVE /02/01 高危权限提升 Android Framework APIs 权限许可和 20

25 访问控制漏洞 CVE /03/09 高危远程攻击 Chrome V8 引擎中内存破坏漏洞 CVE /03/29 高危远程攻击 pwn2own2017 远程执行漏洞 CVE /06/01 高危远程攻击 libxml2 中的远程攻击漏洞 CVE /07/01 高危权限提升 Android Framework 权限许可和访问控制漏洞 CVE /07/01 高危信息泄漏 Android Framework 信息泄漏漏洞 CVE /08/01 高危远程攻击 BMP 图片拒绝服务漏洞 CVE /09/01 高危远程攻击 ICO 图片中的拒绝服务漏洞 CVE /09/05 高危远程攻击 Chrome V8 引擎中类型混淆漏洞 CVE /10/01 高危远程攻击 MPEG4 中的拒绝服务漏洞 CVE /10/01 高危远程攻击 BMP 图片中的拒绝服务漏洞 CVE /12/01 高危权限提升 Android System(art) 权限许可和访问控制漏洞 CVE /12/01 高危权限提升安卓服务框架 (libminikin) 中的权限提升漏洞 CVE /01/01 高危远程攻击 BMP 图片解析漏洞. CVE /01/10 高危远程攻击 Chrome V8 引擎中类型混淆漏洞 CVE /02/01 高危信息泄漏系统音频服务中的信息泄漏漏洞 CVE /03/01 高危远程攻击 MPEG 视频文件解析漏洞. CVE /04/08 高危权限提升 Android 权限许可和访问控制漏洞 CVE /04/08 高危权限提升 Android 权限许可和访问控制漏洞 CVE /05/01 高危权限提升 Android 权限许可和访问控制漏洞 CVE /05/01 高危权限提升 Android 权限许可和访问控制漏洞 CVE /06/01 高危权限提升蓝牙组件中的权限提升漏洞 CVE /06/01 高危信息泄漏 libvpx 中的信息泄漏漏洞 CVE /04/02 中危信息泄漏安卓框架中的信息泄漏漏洞 CVE /05/25 中危信息泄漏 Chrome V8 decodeuri 信息泄漏漏洞 CVE /05/25 中危远程攻击 Chrome V8 引擎的信息泄漏漏洞 CVE /06/01 中危权限提升安卓框架界面中的权限提升漏洞 CVE /07/01 中危权限提升蓝牙组件中的权限提升漏洞 CVE /08/01 中危权限提升安卓框架界面中的权限提升漏洞 CVE /08/05 中危权限提升安卓框架界面中的权限提升漏洞 CVE /09/01 中危信息泄漏 WIFI 模块中的信息泄漏漏洞 CVE /10/03 中危权限提升安卓框架界面中的权限提升漏洞 CVE /02/01 中危权限提升蓝牙中的权限提升漏洞 CVE /03/01 中危信息泄漏媒体服务中的信息泄漏 CVE /03/01 中危权限提升 Android Wi-Fi 权限许可和访问控制漏洞 CVE /04/01 中危信息泄漏恢复出厂设置进程中的信息披露漏洞 CVE /04/01 中危权限提升 libnl 中的提权漏洞 CVE /06/01 中危远程攻击 Google xml 中的 UAF 漏洞 21

26 CVE /08/01 中危信息泄漏 Libhevc 中的信息泄漏漏洞 CVE /10/01 中危远程攻击多媒体服务框架中的远程攻击漏洞 CVE /02/01 中危信息泄漏 AVC 和 MPEG4 编码器中的漏洞 CVE /03/01 中危信息泄漏 System(bluetooth) 存在信息泄漏漏洞 CVE /04/12 中危远程攻击 Chrome V8 引擎中越界访问漏洞 CVE /08/01 高危权限提升 Android Framework 权限许可和访问控制漏洞 CVE /07/01 高危信息泄漏 Android Framework 信息泄漏漏洞 CVE /07/01 高危信息泄漏 Android Media framework 信息泄漏漏洞 CVE /08/01 严重远程攻击 CopyToOMX 中越界写引入的远程代码执行 CVE /12/01 高危信息泄漏 ContentProvider 中 URI 绕过漏洞 CVE /09/25 高危远程攻击 Hack2Win 2018 v8 远程执行漏洞 CVE /09/01 高危权限提升 URL Hostname 解析漏洞 CVE /09/01 高危权限提升 NanoAppFilter Parcel 读取数据时数据类型不一致漏洞 CVE /11/01 高危权限提升调用未实现函数 CVE /10/01 高危远程攻击 Android 远程代码执行漏洞 CVE /10/01 高危信息泄漏 MediaDrmServer 信息泄漏漏洞 22

信息安全漏洞周报 (2018 年第 36 期总第 440 期 ) 信息安全测评中心 2018 年 9 月 16 日根据国家信息安全漏洞库 (CNNVD) 统计, 本周 (2018 年 9 月 10 日至 2018 年 9 月 16 日 ) 安全漏洞情况如下 : 公开漏洞情况 7.99% 本周 CN

信息安全漏洞周报 (2018 年第 36 期总第 440 期 ) 信息安全测评中心 2018 年 9 月 16 日根据国家信息安全漏洞库 (CNNVD) 统计, 本周 (2018 年 9 月 10 日至 2018 年 9 月 16 日 ) 安全漏洞情况如下 : 公开漏洞情况 7.99% 本周 CNNVD 采集安全漏洞 356 个, 与上周 (338 个 ) 相比增加了接报漏洞情况本周接报漏洞

2018 年度 安卓系统安全性生态环境 研究 2019 年 1 月 25 日

2018 年度安卓系统安全性生态环境研究 2019 年 1 月 25 日