收藏
下载资源 加入会员免费下载

2017年度安卓系统安全性生态环境研究.pdf

返回 相关 举报
2017年度安卓系统安全性生态环境研究.pdf_第1页
第1页 / 共24页
2017年度安卓系统安全性生态环境研究.pdf_第2页
第2页 / 共24页
2017年度安卓系统安全性生态环境研究.pdf_第3页
第3页 / 共24页
2017年度安卓系统安全性生态环境研究.pdf_第4页
第4页 / 共24页
2017年度安卓系统安全性生态环境研究.pdf_第5页
第5页 / 共24页
亲,该文档总共24页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
2017 年 度 安卓系统安全性生态环境研究 2018 年 1 月 12 日 摘 要 此报告数据来源为“ 360 透视镜 ” ( 360 发布 的 一款专业检测手机安全漏洞的 APP, shouji.360/vulscanner.htm) 用户主动上传的 80 万份 漏洞检测报告, 检测内容包括最近 两年 的 Android 和 Chrome 安全公告中检出率最高的 64 个漏洞,涵盖了 Android系统的各个层面 。 检测结果显示,截止至 2017 年 12 月, 所测 设备 中 93.94%的 Android 手机存在安全漏洞, 有 6.06%的设备完全没有 检测出 漏洞 , 安全 程度 同比上升 1.64%, 这一数据刷新了国内 安卓 系统安全 生态 情况 的 最高纪录 ,同比 2016 年,手机安全程度呈上升趋势。 Android 版本占比最高的 3 个版本分别为 Android 6.0、 Android 5.1 和 Android 4.4,比例分别为 38%、 28%和 22%, Android 7.0 和 7.1 版本 所占比例 分别为 3%和 4%,而最新版的 Android 8.0 和 8.1 版本占比 几乎 为 0%。 从结果上看, Android 版本 高低 和漏洞数量 多少 并没有严格的线性关系, 在 高版本系统上( 7.0 及以上 ) , 漏洞数量明显减少, 平均 漏洞数 有所降低 。 与上季度相比, 用户 整体 的 版本 更新 和 推进 变化不大 , Android 6.0依旧是 用户量最多的 系统 , 高 版本系统 7.0 和 7.1 继续 保持缓慢上升趋势 ;在 平均漏洞数方面,以 6.0 版本 为 分界线, 6.0 及 以下平均漏洞数 量 整体 保持 上升 ,而 7.0 及 以上 的平均漏洞数 相比上个 季度 则 有所降低 。虽然 检测的漏洞总案例 在 继续增加, 但 高 版本 系统 平均漏洞降低 的这种情况 与新版本系统 中安卓系统 安全补丁 的 普及 有 很大的关系 。 用户手机的平均漏洞数量存在比较明显的地域特征,上海 、广东 、天津 等地区的用户手机 平均 漏洞数量最少 ,青海 、 宁夏 、甘肃 等地 区的用户手机漏洞 数量 相对较 多 。 这一数据的 顺序较上一季度 略有变化 , 整体 平均漏洞数 基本持平 。 不同 性别的用户 平均 系统版本 较 上一季度 均 有所提升, 男性用户的手机版本平均 比女性用户的手机版本低,女 性用户的手机平均漏洞数量比 男 性用户低 。 在 安全更新 推送时效性方面, 本季度 的检测结果显示 推送安全更新最及时的 TOP 5 品牌分别为 VIVO、三星 、 华为、 小米 和 OPPO。 其中 87.4%的设备存在浏览器内核相关漏洞, 浏览器 内核 漏洞最多的 设备同时存在 4 个漏洞, 占比 18.2%, 仅有 12.6%的设备不受浏览器内核漏洞影响。 与上一季度相比, 浏览器安全 情况 有较大 缓解, 通过 我们 的观测 , 这与浏览器 内核 的升级有 直接 关联 ,新版本 浏览器内核所占比例明显有所增长。 安卓手机用户中,约有 46.0%的用户会保持手机系统(特指安全补丁等级)版本与厂商所提供的最新版本保持一致,约有 14.6%的用户的手机系统版本会保持滞后厂 商最新版本 1 到 3 个月 ,接近 9%的用户会滞后 4 到 6 个月, 其余 用户会滞后半年以上。 其中保持手机系统更新的用户 相较上个季度 无 明显 差异 ,同比 2016 年,也无明显差异。 与安卓官方最新更新情况相比,用户 手机系统平均滞后了约 11.1 个月;但与手机厂商已经提供该机型的最新版本相比,则平均只滞后了 4.1 个月 。 这两项 数据 上看,安全 补丁的 更新 环比 均 有所 滞后 ,但 整体 差距 不大 。由 此 可见,用户手机因未能及时更新而存在安全漏洞的重要原因之一,就是手机厂商普遍未能实现其定制开发的安卓 系统与Google 官方同步更新,而且 滞后性比较明显 。 关键词: 安卓安全、安卓 漏洞 、漏洞检测 目 录 研究背景 . 1 第一章 手机系统安全性综述 . 1 一、 系统漏洞的危险等级 . 1 二、 系统漏洞的危害方式 . 1 三、 系统浏览器内核的安全性 . 3 四、 系统漏洞的数量分布 . 5 五、 手机安全生态宏观描述 . 6 第二章 手机系统版本安全性 . 8 一、 各系统版本漏洞情况 . 8 二、 安卓系统漏洞缓解措施 . 9 第三章 手机系统安全性地域分布 . 10 第四章 手机系统安全性与用户性别的相关性 . 12 第五章 手机系统安全漏洞的修复 . 14 一、 厂商漏洞修复情况 . 14 二、 用户主动升级意愿 . 15 三、 漏洞修复综合分析 . 16 第六章 典型手机系统高危漏洞实例 . 18 一、 漏洞简介 . 18 二、 漏洞危害 . 18 三、 漏洞影响 . 18 附录 . 19 1 研究背景 在中国, Android系统作为智能手机中市场占有率最高的移动操作系统,承载着亿万手机用户的生产生活,大量的 Android 开发人员为其添砖加瓦。但树大招风, Android智能手机也暴露在各种恶意软件、系统漏洞的威胁之中,无数恶意软件、电信诈骗不断挑战用户的安全意识,但各种隐藏在系统之中的系统漏洞 对用户的手机安全影响 更为可怕。 由于 Android 操作系统目前仍未有非常完善的补丁机制为其修补系统漏洞,再加上Android 系统碎片化严重,各手机厂商若要为采用 Android 系统的各种设备修复安全问题则需投入大量人力物力。 随着各种系统漏洞的不断披露,现存的 Android 智能手机就像一艘漏水的船,纵然手机安全软件能够缓解一些安全隐患,但系统中的漏洞仍未能有效修补 , 攻击大门依旧打开 。 而Android 平台之上 的 安全软件又无法被授予系统的最高权限,因而 Android 系统安全问题一直非常棘手。 为了让消费者了解到自己手机的安全 性, 360 历时一年打 造了 中国 第一个 Android平台的手机漏洞检测工具 “ 360 透视镜 ” ( shouji.360/vulscanner.htm) ,并 向 社会 公开,任何用户和个人都可下载 安装 。 “ 360 透视镜 ” 应用依据 Android 官方 提供 的安全补丁更新通知 作为 漏洞信息 来源, 在 Android 系统上实现了 无需 申请敏感权限 即可 检测 Android 系统中 存在 的漏洞 这一 核心 功能 ,降低了 用户 了解 自己手机安全状况的限制门槛 。 此报告基于“ 360 透视镜 ”应用用户主动上传的 80 万份 漏洞检测报告,检测内容包括近两 年 (最新漏洞检测 更新至 2017 年 12 月 ) Android 与 Chrome 安全公告中 检出率最高的64 个 漏洞,涵盖了 Android 系统的各个层面,且都与 具体 设备 的 硬件 无关。我们统计并研究了样本中的漏洞测试结果数据,并对安全状况予以客观具体的量化,希望引起用户和厂商对于手机系统漏洞的关注与重视, 为 Android 智能手机用户的安全保驾护航,并希望以此来推进国内 Android 智能手机生态环境的安全、健康发展。 1 第一章 手机系统 安全性综述 一、 系统 漏洞的危险等级 此次报告评测的 64 个系统漏洞,按照 Google 官方对系统漏洞的危险评级标准,按照危险等级递减的排序规则,共分为严重、高危、中危三个级别。 即“ 严重 ” 级别的漏洞对系统的安全性影响最大,其次为 “高危 ”级别 漏洞,然后为 “中危 ”级别 漏洞 ,低危漏洞未入选 。 在这 64 个漏洞中,按照其危险等级分类, 有 严重级别漏洞 11 个,高危 级别 漏洞 36 个,中危 级别 漏洞 17 个。其中高危以上漏洞对用户影响较大 , 在此次 安全 评测中 对 此类漏洞的选取 比例 达 73.4%。 此次 系统 安全分析 结果 显示 : 87.5%的 Android 设备受到中危级别漏洞的危害, 93.9%的 Android 设备存在高危漏洞, 88.1%的 Android 设备受到严重级别的漏洞影响。 二、 系统 漏洞的危害方式 此次报告评测的 64 个系统漏洞,参照 Google 官方对系统漏洞的 技术 类型 分类 标准 并 加以适当合并 ,按照 各 漏洞的 明显特征 分类 ,共分为 远程攻击 、 权限 提升 、 信息 泄漏 三个 类别 。远程 攻击 漏洞 是指 攻击者 可以 通过 网络连接远程对 用户 的系统进行攻击 的 漏洞,权限提升是指 攻击者可以 将 自 身 所拥有的权限 得以 提升 的漏洞,信息泄漏则为可以获得系统或用户 敏感信息 的漏洞。 在这 64 个漏洞中,按照其 危害方式 分类, 有 远程攻击 漏洞 30 个,权限提升 漏洞 24 个,信息 泄漏 漏洞 10 个。 此次 系统 安全分析 结果 显示 : 92.3%的设备存在远程攻击漏洞, 91.5%的设备存在权限提升 漏洞, 85.6%的设备存在信息泄露漏洞 。 与往期 相比 ,虽然 检测漏洞数又有所增加,但影响设备 比例 有 所 降低 , 主要原因为部分设备 的 厂商 大幅度 更新手机的安全性,将设备的补丁等级保持与谷歌同步 , 修复了所有漏洞 。 2 为了 观察 不同 类别的漏洞 中哪些 影响的设备 比例 最多 , 我们 分别 对三种 类别的 漏洞进行统计排序,挑选出了 各 类别中影响设备比例占比前三名的漏洞 , 其中影响最广泛 信息泄露 漏洞 仍然 为 CVE-2016-1677, 72.5%的设备都存在这个漏洞 , 环比 上升 1.8%; 权限提升 漏洞中,CVE-2017-0666 依然 影响最广 , 77.7%的设备均受影响 ,影响比例下降 5.2%; 远程攻击漏洞中, CVE-2015-7555 影响 设备 依然 最多 , 影响 77.7%的设备 , 下降 10.5%。 而 第三季度中我们关注的 CVE-2016-3861 在 本季度中 影响 设备比例 已经退出 Top3,取代它的位置是漏洞CVE-2015-6764,影响 63.0%的设备 。 第二 季度 中 Android 新修复并 公开的 CVE-2015-7555 漏洞在 本季度中 影响 设备数量 依然十分庞大 , 同比 仅 降低 了 10.5%, 并且 预计 在 未来 一段时间仍会 如此 。 CVE-2017-13156即是 12 月 披露的“ Janus”漏洞,影响 59.7%的设备。 远程攻击漏洞,是 危险等级高、 被利用风险最大的漏洞,也是我们最 关注的 漏洞, 为此我们统计了 每期报告中 远程攻击漏洞 排名 Top3 的趋势变化,结果如下图所示。 3 远程攻击漏洞整体呈下降趋势,但是 受漏洞影响的设备依旧保持在较高比例, 4 成以上的用户手机仍然处于 被 远程攻击的风险之中, 安全 形势并不乐观。 三、 系统浏览器 内核 的 安全性 系统浏览器内核是 用户每日使用手机 时 接触最多的 系统 组件 , 不仅仅是指用户浏览网页的独立浏览器,实际上,许多安卓应用 开发者 考虑到开发速度、保障不同设备 之间 的统一性等因素 , 会 使用 系统 提供的浏览器内核组件 。 因而用户 在 每日的手机使用中,大多 会 直接或 间接 地调用 了系统浏览器内核。 在此次 评测中, 系统 浏览器 内核 是指 Android 系统的 Webview 组件的核心,在 Android 4.4之前, Android系统的 Webview是基于 Webkit的,在 Android 4.4及 以后 的 系统 中, Webview的核心被换成了 Chromium(Chrome 的开源版本 ,可 近似理解为 Chrome)。 在统计 的样本 中 ,其中 Webkit 内核版本 由于 其版本较为一致 , 故在示意图中仅占一 块 ,其余为 Chrome 内核 的 不同 版本。 本季度 Webkit 所占比重 几乎为 0%, 较上季度 降 低 9%。截止 至 本季度 , 当前 Google 发布的 Android平台 Chrome 稳定版的 内核 的 最新 版本为 Chrome 60, 而在此次检测中 有 1%的用户将自己手机中的浏览器内核升级至 最新 。 而 从图中可以看出, Chrome 内核版本大于等于 55 的设备 占 24%。 对比 上一季度的 数据 , 版本大于 50 的 设备比例有所增长,从 18%增至 27%。 在 此次检测中,并且最新版本 60 在国内用户之中 占比1%,同比上季度增长 0.91%,说明国内 厂商 有更新浏览器内核的 举措 。总的来说, 浏览器内核 整体版本有所跟新 推进 , 国内安卓生态圈中对浏览器内核的更新进度相对 有所增强 ,但仍存在严重的更新滞后问题,第二节 远程攻击 漏洞中跻身 Top3 的 CVE-2015-6764,即是浏览器内核漏洞,足以说明这一点。 4 为了 研究不同浏览器内核版本的安全性,我们统计了不同版本的浏览器内核 的平均 漏洞个数 。 下图显示了不同 Webview 版本平均漏洞数量, 其中内核 版本在 Chrome 46 以下 的 版本 中 漏洞数量明显高于 Chrome 47 以上版本, Chrome 55 以上版本漏洞数量 相对 最少。 从 图中可以看出 较新版本浏览器 内核漏洞数量相对较少,其中 Chrome 57 版本 及 以上 的 设备平均漏洞检出情况 则 为 0。 以上 数据 充分 说明保持最新版本的浏览器内核可以 十分 有效 增强 手机浏览器 内核的安全性 。 浏览器内核漏洞多数可通过远程方式利用, 因而 对于用户的 手机 安全 危害较大。 安卓 系统浏览器内核 漏洞的分布情况如下图所示。 其中 87.4%的设备存在至少一个 浏览器内核 漏洞,18.2%的设备同时存在 4 个 浏览器内核 漏洞, 为 漏洞 数量最多 的设备 。 有 12.6%的设备不受这些 漏洞影响。 较 上一季度,浏览器安全情况有所上升 , 但上升比例不大。 整体 来看 浏览器安全状态 有所缓解, 浏览器内核 版本的 更新所 带来的 效果十分 显著 , 但老旧设备的 升级 情况无明显好转,用户依然暴露在浏览器漏洞的威胁之中 。 5 四、 系统漏洞的数量 分布 为了 研究用户手机中漏洞数量的分布规律 和对 用户手机中的安全等级做一个直观 的 评分 , 我们 统计了所有样本中手机 存在 漏洞 个数 的比例分布 ,结果 如下图所示 。 在 此次测试中 , 我们检测了 64 个 已知 漏洞, 有 93.94%的设备 存在至少一个 安全 漏洞 ,漏洞最多的设备 同时 包含有 49 个 安全 漏洞 。 这一数据较上一季度 95.58%的 比例降低 幅度不大 , 其他 漏洞个数的比例情况与上一季度 相比整体有所降低 , 但 依然保持 较高 的比例。 为了研究近两年用户 手机中漏洞数量的变化,同时反映用户手机安全性的变化情况,我们 总结 了 2016 年到 2017 年的漏洞数量比例 分布及趋势,结果 如下图所示 。 6 可以发现 , 手机存在漏洞的比例,整体呈下降的趋势 。 2017 年第一季度, 10 个及以上漏洞的比例下降幅度增加,跟该季度 较高比例的系统更新有直接关系,第五章 第二 节也会有相应的数据反映这一现象。 2017 年 第一到第二季度 漏洞 比例 有所 上升,与这期间新增漏洞检测样本 数量 有 关 ,这也说明一旦加大检测力度,用户手机整体的安全形势 将 会 表现 的更加严峻。 如果 手机 厂商 积极 做好手机系统的安全补丁更新工作, 现行 手机系统的安全情况 就 会有明显的 提升 。 虽然国内厂商在不断地对安卓设备进行安全更新,但是安全漏洞 也在 层出不穷 ,存在漏洞的设备比重仍然 居 高不下 。 五、 手机安全 生态 宏观 描述 为了 研究用户手机中漏洞数量 的宏观 情况,我们 统计了 如下 宏观描绘 图 。 其中 ,各个 独立 的方块 都 代表一款 具体 型号的 安卓设备; 方块 面积 表示 该 型号 设备 使用人数的 多少 , 使用 的人数越多 则相应 面积越大 ; 其颜色 由 绿色到红色之间的 渐变 代表了 该 型号设备的平均安全水平 。 由 图中可以看出 , 较为安全的绿色方块数量 依旧 较少 ,整体 安全 情
展开阅读全文
相关资源
相关搜索
资源标签

copyright@ 2017-2022 报告吧 版权所有
经营许可证编号:宁ICP备17002310号 | 增值电信业务经营许可证编号:宁B2-20200018  | 宁公网安备64010602000642