360發(fā)布2017年度安卓系統(tǒng)研究報告 安全系數(shù)同比上升

　　近年來，隨著華為、小米、OPPO等安卓系手機廠商發(fā)力，安卓機的外觀設(shè)計、系統(tǒng)性能、配置水平均獲得大幅提升。在中國，Android系統(tǒng)也成為了智能手機中市場占有率最高的操作系統(tǒng)，承載著億萬手機用戶的工作生活，大量的Android開發(fā)人員為其添磚加瓦。然而樹大招風(fēng)，Android智能手機也因此暴露在各種惡意軟件、系統(tǒng)漏洞的威脅之中，無數(shù)惡意軟件、電信詐騙不斷影響用戶的手機安全，其中，各種隱藏在系統(tǒng)之中的系統(tǒng)漏洞對用戶的手機安全影響則更為可怕。

　　近期，360互聯(lián)網(wǎng)安全中心發(fā)布了《2017年度安卓系統(tǒng)安全性生態(tài)環(huán)境研究報告》(以下簡稱：報告)，報告稱：目前已有七成漏洞是高危以上，存在較大的安全威脅;用戶系統(tǒng)補丁應(yīng)及時更新，減少漏洞數(shù)量;87.4%的設(shè)備存在至少一個瀏覽器內(nèi)核漏洞，18.2%的設(shè)備同時存在4個瀏覽器內(nèi)核漏洞;手機漏洞的數(shù)量非常有指向性，偏向于內(nèi)陸地區(qū)和男人;近半用戶保持同步更新，滯后比例有所下降;

　　七成漏洞高危以上 潛在安全風(fēng)險較大

　　此次報告評測的64個系統(tǒng)漏洞，按照Google官方對系統(tǒng)漏洞的危險評級標(biāo)準(zhǔn)，按照危險等級遞減的排序規(guī)則，共分為嚴(yán)重、高危、中危三個級別。即“嚴(yán)重”級別的漏洞對系統(tǒng)的安全性影響最大，其次為“高危”級別漏洞，然后為“中危”級別漏洞，低危漏洞未入選。

　　在這64個漏洞中，按照其危險等級分類，有嚴(yán)重級別漏洞11個，高危級別漏洞36個，中危級別漏洞17個。其中高危以上漏洞對用戶影響較大，在此次安全評測中對此類漏洞的選取比例達73.4%。

　　同時，此次系統(tǒng)安全分析結(jié)果顯示：87.5%的Android設(shè)備受到中危級別漏洞的危害，93.9%的Android設(shè)備存在高危漏洞，88.1%的Android設(shè)備受到嚴(yán)重級別的漏洞影響。

　　圖一：接受檢測的64個安卓系統(tǒng)漏洞的危險等級及其影響設(shè)備

　　在此次測試中，360檢測了64個已知漏洞，有93.94%的設(shè)備存在至少一個安全漏洞，漏洞最多的設(shè)備甚至包含有49個安全漏洞。這一數(shù)據(jù)較上一季度95.58%的比例降低幅度不大，其他漏洞個數(shù)的比例情況與上一季度相比整體有所降低，但依然保持較高的比例。

　　圖二：手機存在的漏洞個數(shù)占比

　　小內(nèi)核大關(guān)聯(lián)：手機瀏覽器安全性全靠它

　　用戶每日使用手機時，接觸最多的軟件之一便是瀏覽器了，而用戶能通過瀏覽器成功搜索到相應(yīng)信息，則是瀏覽器內(nèi)核的功勞了，它在其中發(fā)揮著橋梁紐帶作用，為用戶建立起與互聯(lián)網(wǎng)的連接。用戶在使用瀏覽器之外的軟件時，大多會直接或間接地調(diào)用系統(tǒng)瀏覽器內(nèi)核，因此，許多安卓應(yīng)用開發(fā)者進行軟件開發(fā)時，還需考慮內(nèi)置瀏覽器內(nèi)核兼容性的問題，這也就決定了它在手機廠商心目中的地位。

　　報告提到，瀏覽器內(nèi)核漏洞多數(shù)可通過遠(yuǎn)程方式利用，因而對于用戶的手機安全危害較大。安卓系統(tǒng)瀏覽器內(nèi)核漏洞的分布情況如下圖所示。其中87.4%的設(shè)備存在至少一個瀏覽器內(nèi)核漏洞，18.2%的設(shè)備同時存在4個瀏覽器內(nèi)核漏洞，為漏洞數(shù)量最多的設(shè)備。有12.6%的設(shè)備不受這些漏洞影響。較上一季度，瀏覽器安全情況有所上升，但上升比例不大。

　　圖三：安卓系統(tǒng)瀏覽器內(nèi)核漏洞個數(shù)比例

　　系統(tǒng)與補丁應(yīng)及時更新 防止系統(tǒng)漏洞作亂

　　從下圖可以看出，安卓系統(tǒng)版本與漏洞數(shù)量并不是簡單的線性關(guān)系。Android 5.0以下版本漏洞數(shù)量隨版本升高而遞增，并不是說明Android版本越高越不安全，而是因為此次檢測主要關(guān)注的是最近兩年的漏洞，而Android 4.4發(fā)布距今已經(jīng)過去了3年的時間，因而相對版本越老的Android系統(tǒng)因為不支持較新的功能而可能不存在相應(yīng)的漏洞。Android 5.0以上版本，隨著系統(tǒng)版本升高，漏洞數(shù)量急劇減少。

　　實際上系統(tǒng)的安全性受到廠商重視度、系統(tǒng)功能的多少與變動，甚至服役時間、普及程度、惡意攻擊者的攻擊價值等等因素的共同影響，但修補了歷史已知漏洞的最新系統(tǒng)往往會相對安全些。對此，360手機衛(wèi)士安全專家提醒廣大安卓用戶，在個人設(shè)備配置允許的條件下，應(yīng)及時更新系統(tǒng)和安全補丁等級的版本，以降低手機漏洞被利用的成功率。

　　圖四：不同安卓系統(tǒng)版本的手機平均漏洞數(shù)

　　手機漏洞不僅偏愛內(nèi)陸地區(qū) 還偏愛男性用戶

　　據(jù)《報告》顯示，系統(tǒng)漏洞如騷擾電話、垃圾短信等其他移動安全問題一樣，也有著明顯的地域分布特征，相對來說，它們更愿在內(nèi)陸地區(qū)“橫行”。其中，青海、寧夏、甘肅這三個省份平臺每臺手機擁有漏洞數(shù)量排名靠前，成為手機漏洞的重災(zāi)區(qū);而安全性最高的前三名則為上海、廣東、天津，用戶擁有的手機漏洞相對較少。

　　圖五：不同地域用戶手機系統(tǒng)漏洞數(shù)量分布

　　換句話說，也可以說是經(jīng)濟越發(fā)達的地區(qū)，用戶所使用的手機的平均漏洞數(shù)量越少，手機安全性相對越高。一方面來說，經(jīng)濟發(fā)達地區(qū)的手機用戶，安全意識相對來說較高，在更新系統(tǒng)和安全補丁等級版本上更積極;另一方面，則同經(jīng)濟發(fā)達地區(qū)手機用戶的經(jīng)濟實力有關(guān)，他們往往資金寬裕，所購買的手機無論是系統(tǒng)性能還是配置，等級較高，安全也就更有保障。

　　手機漏洞除了“嫌富愛貧”外，還對男性群體也是有著一種獨特的偏愛。據(jù)《報告》數(shù)據(jù)顯示，女性手機平均漏洞數(shù)低于男性。女性手機安全性之所以高于男性，主要在于女性同男性相比，更加謹(jǐn)慎細(xì)致，除及時更新系統(tǒng)版本外，對于來源不明的網(wǎng)站、文件等，也不會輕易打開或下載，因此留給漏洞入侵的機會便也減少。當(dāng)然也有一種另外可能，廣大女性同胞在換手機上相對男性會更加頻繁，因此新手機的手機系統(tǒng)也就自然而然更加高了。

　　圖六：不同性別手機系統(tǒng)版本與安全性差異

　　近半用戶保持同步更新 滯后比例有所下降

　　可以看到，近一半的手機用戶能夠保持手機系統(tǒng)與廠商最新系統(tǒng)的同步更新，且6成以上的用戶能夠在廠商推出更新版本后三個月內(nèi)更新自己的手機;但能夠享受與安卓官方最新系統(tǒng)保持同步更新服務(wù)的用戶則僅為5%，滯后時間小于3個月的用戶也只有近20%，較上季度比例均有所下降。綜合對比用戶手機系統(tǒng)的更新狀態(tài)、安卓官方的更新狀態(tài)和手機廠商的更新狀態(tài)，360發(fā)現(xiàn)：與安卓官方最新更新情況相比，用戶的手機系統(tǒng)平均滯后了約11.1個月，但與手機廠商已經(jīng)提供該機型的最新版本相比，則平均只滯后了4.1個月。

　　圖七：用戶手機系統(tǒng)與安卓官方及手機廠商更新情況對比

　　《2017年度安卓系統(tǒng)安全性生態(tài)環(huán)境研究報告》是以“360透視鏡”應(yīng)用用戶主動上傳的80萬份漏洞檢測報告為數(shù)據(jù)背書的，檢測內(nèi)容包括近兩年Android與Chrome安全公告中檢出率最高的64個漏洞，涵蓋Android系統(tǒng)的各個層面。此次報告發(fā)布，旨在引起用戶和廠商對于手機系統(tǒng)漏洞的關(guān)注與重視，為Android智能手機用戶的安全保駕護航，并希望以此來推進國內(nèi)Android智能手機生態(tài)環(huán)境的安全、健康發(fā)展。