2017年度安卓系统安全性生态环境研究 .pdf

2017 年 度  安卓系统安全性生态环境研究  2018 年 1 月 12 日   摘     要   此报告数据来源为“ 360 透视镜 ” （ 360 发布 的 一款专业检测手机安全漏洞的 APP, shouji.360/vulscanner.htm） 用户主动上传的 80 万份 漏洞检测报告， 检测内容包括最近 两年 的 Android 和 Chrome 安全公告中检出率最高的 64 个漏洞，涵盖了 Android系统的各个层面 。   检测结果显示，截止至 2017 年 12 月， 所测 设备 中 93.94%的 Android 手机存在安全漏洞， 有 6.06%的设备完全没有 检测出 漏洞 ， 安全 程度 同比上升 1.64%， 这一数据刷新了国内 安卓 系统安全 生态 情况 的 最高纪录 ，同比 2016 年，手机安全程度呈上升趋势。   Android 版本占比最高的 3 个版本分别为 Android 6.0、 Android 5.1 和  Android 4.4，比例分别为 38%、 28%和 22%， Android 7.0 和 7.1 版本 所占比例 分别为 3%和 4%，而最新版的 Android 8.0 和 8.1 版本占比 几乎 为 0%。 从结果上看， Android 版本 高低 和漏洞数量 多少 并没有严格的线性关系， 在 高版本系统上（ 7.0 及以上 ） ， 漏洞数量明显减少， 平均 漏洞数 有所降低 。 与上季度相比， 用户 整体 的 版本 更新 和 推进 变化不大 ， Android 6.0依旧是 用户量最多的 系统 ， 高 版本系统 7.0 和 7.1 继续 保持缓慢上升趋势 ；在 平均漏洞数方面，以 6.0 版本 为 分界线， 6.0 及 以下平均漏洞数 量 整体 保持 上升 ，而 7.0 及 以上 的平均漏洞数 相比上个 季度 则 有所降低 。虽然 检测的漏洞总案例 在 继续增加， 但 高 版本 系统 平均漏洞降低 的这种情况 与新版本系统 中安卓系统 安全补丁 的 普及 有 很大的关系 。   用户手机的平均漏洞数量存在比较明显的地域特征，上海 、广东 、天津 等地区的用户手机 平均 漏洞数量最少 ，青海 、 宁夏 、甘肃 等地 区的用户手机漏洞 数量 相对较 多 。 这一数据的 顺序较上一季度 略有变化 ， 整体 平均漏洞数 基本持平 。   不同 性别的用户 平均 系统版本 较 上一季度 均 有所提升， 男性用户的手机版本平均 比女性用户的手机版本低，女 性用户的手机平均漏洞数量比 男 性用户低 。   在 安全更新 推送时效性方面， 本季度 的检测结果显示 推送安全更新最及时的 TOP 5 品牌分别为 VIVO、三星 、 华为、 小米 和 OPPO。   其中 87.4%的设备存在浏览器内核相关漏洞， 浏览器 内核 漏洞最多的 设备同时存在 4 个漏洞， 占比 18.2%， 仅有 12.6%的设备不受浏览器内核漏洞影响。 与上一季度相比， 浏览器安全 情况 有较大 缓解， 通过 我们 的观测 ， 这与浏览器 内核 的升级有 直接 关联 ，新版本 浏览器内核所占比例明显有所增长。   安卓手机用户中，约有 46.0%的用户会保持手机系统（特指安全补丁等级）版本与厂商所提供的最新版本保持一致，约有 14.6%的用户的手机系统版本会保持滞后厂 商最新版本 1 到 3 个月 ，接近 9%的用户会滞后 4 到 6 个月， 其余 用户会滞后半年以上。 其中保持手机系统更新的用户 相较上个季度 无 明显 差异 ，同比 2016 年，也无明显差异。   与安卓官方最新更新情况相比，用户 手机系统平均滞后了约 11.1 个月；但与手机厂商已经提供该机型的最新版本相比，则平均只滞后了 4.1 个月 。 这两项 数据 上看，安全 补丁的 更新 环比 均 有所 滞后 ，但 整体 差距 不大 。由 此 可见，用户手机因未能及时更新而存在安全漏洞的重要原因之一，就是手机厂商普遍未能实现其定制开发的安卓 系统与Google 官方同步更新，而且 滞后性比较明显 。  关键词： 安卓安全、安卓 漏洞 、漏洞检测   目     录  研究背景  . 1 第一章  手机系统安全性综述  . 1 一、  系统漏洞的危险等级  . 1 二、  系统漏洞的危害方式  . 1 三、  系统浏览器内核的安全性  . 3 四、  系统漏洞的数量分布  . 5 五、  手机安全生态宏观描述  . 6 第二章  手机系统版本安全性  . 8 一、  各系统版本漏洞情况  . 8 二、  安卓系统漏洞缓解措施  . 9 第三章  手机系统安全性地域分布  . 10 第四章  手机系统安全性与用户性别的相关性  . 12 第五章  手机系统安全漏洞的修复  . 14 一、  厂商漏洞修复情况  . 14 二、  用户主动升级意愿  . 15 三、  漏洞修复综合分析  . 16 第六章  典型手机系统高危漏洞实例  . 18 一、  漏洞简介  . 18 二、  漏洞危害  . 18 三、  漏洞影响  . 18 附录  . 19  1  研究背景  在中国， Android系统作为智能手机中市场占有率最高的移动操作系统，承载着亿万手机用户的生产生活，大量的 Android 开发人员为其添砖加瓦。但树大招风， Android智能手机也暴露在各种恶意软件、系统漏洞的威胁之中，无数恶意软件、电信诈骗不断挑战用户的安全意识，但各种隐藏在系统之中的系统漏洞 对用户的手机安全影响 更为可怕。  由于 Android 操作系统目前仍未有非常完善的补丁机制为其修补系统漏洞，再加上Android 系统碎片化严重，各手机厂商若要为采用 Android 系统的各种设备修复安全问题则需投入大量人力物力。  随着各种系统漏洞的不断披露，现存的 Android 智能手机就像一艘漏水的船，纵然手机安全软件能够缓解一些安全隐患，但系统中的漏洞仍未能有效修补 ， 攻击大门依旧打开 。 而Android 平台之上 的 安全软件又无法被授予系统的最高权限，因而 Android 系统安全问题一直非常棘手。  为了让消费者了解到自己手机的安全 性， 360 历时一年打 造了 中国 第一个 Android平台的手机漏洞检测工具 “ 360 透视镜 ” （ shouji.360/vulscanner.htm） ，并 向 社会 公开，任何用户和个人都可下载 安装 。 “ 360 透视镜 ” 应用依据 Android 官方 提供 的安全补丁更新通知 作为 漏洞信息 来源， 在 Android 系统上实现了 无需 申请敏感权限 即可 检测 Android 系统中 存在 的漏洞 这一 核心 功能 ，降低了 用户 了解 自己手机安全状况的限制门槛 。  此报告基于“ 360 透视镜 ”应用用户主动上传的 80 万份 漏洞检测报告，检测内容包括近两 年 （最新漏洞检测 更新至 2017 年 12 月 ） Android 与 Chrome 安全公告中 检出率最高的64 个 漏洞，涵盖了 Android 系统的各个层面，且都与 具体 设备 的 硬件 无关。我们统计并研究了样本中的漏洞测试结果数据，并对安全状况予以客观具体的量化，希望引起用户和厂商对于手机系统漏洞的关注与重视， 为 Android 智能手机用户的安全保驾护航，并希望以此来推进国内 Android 智能手机生态环境的安全、健康发展。   1  第一章  手机系统 安全性综述  一、  系统 漏洞的危险等级  此次报告评测的 64 个系统漏洞，按照 Google 官方对系统漏洞的危险评级标准，按照危险等级递减的排序规则，共分为严重、高危、中危三个级别。 即“ 严重 ” 级别的漏洞对系统的安全性影响最大，其次为 “高危 ”级别 漏洞，然后为 “中危 ”级别 漏洞 ，低危漏洞未入选 。  在这 64 个漏洞中，按照其危险等级分类， 有 严重级别漏洞 11 个，高危 级别 漏洞 36 个，中危 级别 漏洞 17 个。其中高危以上漏洞对用户影响较大 ， 在此次 安全 评测中 对 此类漏洞的选取 比例 达 73.4%。  此次 系统 安全分析 结果 显示 ：  87.5%的 Android 设备受到中危级别漏洞的危害， 93.9%的 Android 设备存在高危漏洞， 88.1%的 Android 设备受到严重级别的漏洞影响。  二、  系统 漏洞的危害方式  此次报告评测的 64 个系统漏洞，参照 Google 官方对系统漏洞的 技术 类型 分类 标准 并 加以适当合并 ，按照 各 漏洞的 明显特征 分类 ，共分为 远程攻击 、 权限 提升 、 信息 泄漏 三个 类别 。远程 攻击 漏洞 是指 攻击者 可以 通过 网络连接远程对 用户 的系统进行攻击 的 漏洞，权限提升是指 攻击者可以 将 自 身 所拥有的权限 得以 提升 的漏洞，信息泄漏则为可以获得系统或用户 敏感信息 的漏洞。  在这 64 个漏洞中，按照其 危害方式 分类， 有 远程攻击 漏洞 30 个，权限提升 漏洞 24 个，信息 泄漏 漏洞 10 个。  此次 系统 安全分析 结果 显示 ： 92.3%的设备存在远程攻击漏洞， 91.5%的设备存在权限提升 漏洞， 85.6%的设备存在信息泄露漏洞 。 与往期 相比 ，虽然 检测漏洞数又有所增加，但影响设备 比例 有 所 降低 ， 主要原因为部分设备 的 厂商 大幅度 更新手机的安全性，将设备的补丁等级保持与谷歌同步 ， 修复了所有漏洞 。   2  为了 观察 不同 类别的漏洞 中哪些 影响的设备 比例 最多 ， 我们 分别 对三种 类别的 漏洞进行统计排序，挑选出了 各 类别中影响设备比例占比前三名的漏洞 ， 其中影响最广泛 信息泄露 漏洞 仍然 为 CVE-2016-1677， 72.5%的设备都存在这个漏洞 ， 环比 上升 1.8%； 权限提升 漏洞中，CVE-2017-0666 依然 影响最广 ， 77.7%的设备均受影响 ，影响比例下降 5.2%； 远程攻击漏洞中， CVE-2015-7555 影响 设备 依然 最多 ， 影响 77.7%的设备 ， 下降 10.5%。 而 第三季度中我们关注的 CVE-2016-3861 在 本季度中 影响 设备比例 已经退出 Top3，取代它的位置是漏洞CVE-2015-6764，影响 63.0%的设备 。  第二 季度 中 Android 新修复并 公开的 CVE-2015-7555 漏洞在 本季度中 影响 设备数量 依然十分庞大 ， 同比 仅 降低 了 10.5%， 并且 预计 在 未来 一段时间仍会 如此 。 CVE-2017-13156即是 12 月 披露的“ Janus”漏洞，影响 59.7%的设备。  远程攻击漏洞，是 危险等级高、 被利用风险最大的漏洞，也是我们最 关注的 漏洞， 为此我们统计了 每期报告中 远程攻击漏洞 排名 Top3 的趋势变化，结果如下图所示。   3  远程攻击漏洞整体呈下降趋势，但是 受漏洞影响的设备依旧保持在较高比例， 4 成以上的用户手机仍然处于 被 远程攻击的风险之中， 安全 形势并不乐观。  三、  系统浏览器 内核 的 安全性  系统浏览器内核是 用户每日使用手机 时 接触最多的 系统 组件 ， 不仅仅是指用户浏览网页的独立浏览器，实际上，许多安卓应用 开发者 考虑到开发速度、保障不同设备 之间 的统一性等因素 ， 会 使用 系统 提供的浏览器内核组件 。 因而用户 在 每日的手机使用中，大多 会 直接或 间接 地调用 了系统浏览器内核。  在此次 评测中， 系统 浏览器 内核 是指 Android 系统的 Webview 组件的核心，在 Android 4.4之前， Android系统的 Webview是基于 Webkit的，在 Android 4.4及 以后 的 系统 中， Webview的核心被换成了 Chromium(Chrome 的开源版本 ，可 近似理解为 Chrome)。  在统计 的样本 中 ，其中 Webkit 内核版本 由于 其版本较为一致 ， 故在示意图中仅占一 块 ，其余为 Chrome 内核 的 不同 版本。 本季度 Webkit 所占比重 几乎为 0%， 较上季度 降 低 9%。截止 至 本季度 ， 当前 Google 发布的 Android平台 Chrome 稳定版的 内核 的 最新 版本为 Chrome 60， 而在此次检测中 有 1%的用户将自己手机中的浏览器内核升级至 最新 。 而 从图中可以看出， Chrome 内核版本大于等于 55 的设备 占 24%。 对比 上一季度的 数据 ， 版本大于 50 的 设备比例有所增长，从 18%增至 27%。 在 此次检测中，并且最新版本 60 在国内用户之中 占比1%，同比上季度增长 0.91%，说明国内 厂商 有更新浏览器内核的 举措 。总的来说， 浏览器内核 整体版本有所跟新 推进 ， 国内安卓生态圈中对浏览器内核的更新进度相对 有所增强 ，但仍存在严重的更新滞后问题，第二节 远程攻击 漏洞中跻身 Top3 的 CVE-2015-6764，即是浏览器内核漏洞，足以说明这一点。   4  为了 研究不同浏览器内核版本的安全性，我们统计了不同版本的浏览器内核 的平均 漏洞个数 。 下图显示了不同 Webview 版本平均漏洞数量， 其中内核 版本在 Chrome 46 以下 的 版本 中 漏洞数量明显高于 Chrome 47 以上版本， Chrome 55 以上版本漏洞数量 相对 最少。 从 图中可以看出 较新版本浏览器 内核漏洞数量相对较少，其中 Chrome 57 版本 及 以上 的 设备平均漏洞检出情况 则 为 0。 以上 数据 充分 说明保持最新版本的浏览器内核可以 十分 有效 增强 手机浏览器 内核的安全性 。  浏览器内核漏洞多数可通过远程方式利用， 因而 对于用户的 手机 安全 危害较大。 安卓 系统浏览器内核 漏洞的分布情况如下图所示。 其中 87.4%的设备存在至少一个 浏览器内核 漏洞，18.2%的设备同时存在 4 个 浏览器内核 漏洞， 为 漏洞 数量最多 的设备 。 有 12.6%的设备不受这些 漏洞影响。 较 上一季度，浏览器安全情况有所上升 ， 但上升比例不大。 整体 来看 浏览器安全状态 有所缓解， 浏览器内核 版本的 更新所 带来的 效果十分 显著 ， 但老旧设备的 升级 情况无明显好转，用户依然暴露在浏览器漏洞的威胁之中 。   5  四、  系统漏洞的数量 分布  为了 研究用户手机中漏洞数量的分布规律 和对 用户手机中的安全等级做一个直观 的 评分 ， 我们 统计了所有样本中手机 存在 漏洞 个数 的比例分布 ，结果 如下图所示 。  在 此次测试中 ， 我们检测了 64 个 已知 漏洞， 有 93.94%的设备 存在至少一个 安全 漏洞 ，漏洞最多的设备 同时 包含有 49 个 安全 漏洞 。 这一数据较上一季度 95.58%的 比例降低 幅度不大 ， 其他 漏洞个数的比例情况与上一季度 相比整体有所降低 ， 但 依然保持 较高 的比例。  为了研究近两年用户 手机中漏洞数量的变化，同时反映用户手机安全性的变化情况，我们 总结 了 2016 年到 2017 年的漏洞数量比例 分布及趋势，结果 如下图所示 。   6  可以发现 ， 手机存在漏洞的比例，整体呈下降的趋势 。 2017 年第一季度， 10 个及以上漏洞的比例下降幅度增加，跟该季度 较高比例的系统更新有直接关系，第五章 第二 节也会有相应的数据反映这一现象。 2017 年 第一到第二季度 漏洞 比例 有所 上升，与这期间新增漏洞检测样本 数量 有 关 ，这也说明一旦加大检测力度，用户手机整体的安全形势 将 会 表现 的更加严峻。  如果 手机 厂商 积极 做好手机系统的安全补丁更新工作， 现行 手机系统的安全情况 就 会有明显的 提升 。 虽然国内厂商在不断地对安卓设备进行安全更新，但是安全漏洞 也在 层出不穷 ，存在漏洞的设备比重仍然 居 高不下 。  五、  手机安全 生态 宏观 描述  为了 研究用户手机中漏洞数量 的宏观 情况，我们 统计了 如下 宏观描绘 图 。  其中 ，各个 独立 的方块 都 代表一款 具体 型号的 安卓设备； 方块 面积 表示 该 型号 设备 使用人数的 多少 ， 使用 的人数越多 则相应 面积越大 ； 其颜色 由 绿色到红色之间的 渐变 代表了 该 型号设备的平均安全水平 。 由 图中可以看出 ， 较为安全的绿色方块数量 依旧 较少 ，整体 安全 情 7  况依旧比较严峻 。 对比 上一季度 ， 新设备的 安全 补丁更新情况 有了很大 的进步 ， 厂商对于手机系统安全补丁的重视程度和投入有了明显的改善 ，多数国内主流 厂商 均 有更新推送新设备的安全补丁，部分厂商 则 将 系统 更新至与安卓官方 同步 （ 2017-12） ，但 宏观上 看安全情况 更加严峻， 主要 原因是新设备所占比例相对较低，正在使用的设备绝大部分还是 难以 更新的老旧设备。   8  第二章  手机系统版本 安全性  一、  各系统版本漏洞情况  由于 Android 系统 在升级时不可直接 跨 版本 升级 而 厂商 往往又不愿意为 旧 机型 耗费人力物力 适配 新系统 ，因而 在 一定程度上导致了 Android 系统版本 的碎片化。  为了 研究不同版本的安卓系统的安全性，我们统计了 样本 手机所使用的安卓版本 分布 ，并进一步对这些不同的版本 的 漏洞数量 进行 了统计分析。  采用 Android 系统版本的分布情况如下图所示， 在 此次样本中， Android 系统占比最高的 3个版本分别为 Android 6.0、 Android 5.1和 Android 4.4，比例分别达到 38%、  28%和 22%，而高版本中 Android 7.0 和 7.1 版本 所占比例 分别为 3%和 4%，  Android 8.0 及以上接近为 0。  与 上一 季度 相同 ， Android 6.0 依旧 成为 最流行 的系统版本，与 历史进程 和我们的预期均 相符 。 Android 5.1 和 Android 4.4 所占 比例继续降低，但 低于 6.0 版本 的设备依然占据了约 60%的比例 。 Android 7.0 和 7.1 的 比例 有 小幅度 上升 ， 这 不 光 意味着 版本号 上的更新，更意味着更多的用户能够享受到 新版 Android 系统 所带来的 一系列 安全更新 ， 其中 包括 引入的 隐私 敏感 权限 动态 管理 功能 ， 而这 在 一定程度上 极大 的 增强了 用户 手机 隐私的安全性 。 目前 最新的系统为 Android 8.0，其中 引入了一项叫做 Project Treble 的功能 ， 在 未来可以 缓解安卓 系统更新滞后的问题 ，我们 也希望看到这一功能得以最大化发挥 作用 。 但 由于新系统 、新 设备 无法 第一时间 大 范围更新 ，故 短 时间内 ，安卓 系统 的 碎片化和 老旧 设备的比例依然会保持较高比例 ， 安全状况依然形势严峻 。  通过对 每个 Android 版本平均漏洞数量 进行统计，得到 如下图所示 结果 。 从图中可 看出Android 5.1 及其 以下版本 平均漏洞数量较多 ， 且 整体 较上一季度 的 平均漏洞数 保持 增加趋势，这很大程度上是由于 部分 老旧设备 无法获得 更新而我们检测的漏洞又在持续 增加， 因此造成了这种现象 ； 而 Android 6.0 以上系统则更为安全，平均漏洞数量急剧降低。 其中 比 较新的 Android 7.0 和 7.1 的 系统中，平均漏洞数较上一季度有所降低，这主要是由于新版本的系统中 安全补丁 推送 已经 较为普及， 厂商 对于新版本系统的推送积极度 有所 上升 。   9  从图中可以看出， 安卓系统 版本与 漏洞 数量并不是简单的线性关系。 Android 5.0 以下版本漏洞数量随版本升高而递增， 并不是说明 Android 版本越高越不安全，而是因为此次检测主要关注的是最近 两年的漏洞， 而 Android 4.4 发布距今 已经 过去了 3 年 的时间， 因而 相对 版本越老的 Android 系 统 因为不支持较新的功能而 可能 不存在相应的漏洞。 Android 5.0 以上版本，随着系统版本升高，漏洞数量急剧减少。  环比上季度的 数据， 除 7.0 和 7.1 外 ，其余 版本 系统的平均 漏洞数均有所增加，这是由于 本季度 又新修复和公开了一些漏洞，而这些漏洞 中有些漏洞 影响范围十分广泛。  实际上 系统 的 安全性受到 厂商 重视度 、 系统功能 的多少 与 变动 ， 甚至 服役时间 、 普及 程度 、恶意攻击者的 攻击价值 等等 因素 的 共同 影响 ， 但修补 了历史已知 漏洞的 最新 系统往往会相对 安全些。  二、  安卓系统漏洞缓解措施  随着 Android 版本号的提升，其安全手段与漏洞缓解措施也在逐次加固。通常来说，版本越新的安卓系统，其安全防护手段越强，系统漏洞利用的难度也越大。  例如，从 Android 4.3 开始引入 SELinux 沙盒机制，并在后续的版本中不断对其进行加固  ， 从 Android 5.0 开始，引入全盘加密，以保证用户的信息安全。 Android 7.0 中提供了基于文件的加密，进一步保证了用户的信息安全 ； 并实现了深层次的地址随机化机制，使得本地权限提升 的攻击难度显著提高 。 该版本 Android 系统 中谷歌工程师 对 Media Server 进行 了重构，将其 按照最小权限原则将之分隔成 多 个独立的进程 与组件 ，从而即使其中某一个进程或组件 存在漏洞，攻击者也无法在别的进程空间内执行代码； 并且 在整个 Media Server 的 编译过程中 新增了整型溢出防护机制，从而 从编译阶段 杜绝类似于 Stagefright 漏洞利用情况的出现。 在 最新的 Android 8.0 中 ， 系统 的安全性又进一步增强 ， 如 引进  Project Treble，进一步提升了对 设备特定 组件的攻击保护； Webview 方面也有提升， Android 8.0 中 Webview 运行在 独立 的 沙箱 进程 中 ， 对系统其余部分的访问 非常有限 。  不论从漏洞数目，还是漏洞防护机制上， 最 新版本的安卓系统均比低版本安卓系统 安全性 更好。 而国内由于安卓碎片化的 情况 ， 仍 存在 大量低版本的 带有 漏洞的 安卓设备 。   10  第三章  手机系统 安全性 地域 分布  正如电信 诈骗 、 伪基站等 有 明显的地域分布特征 ，为 了 更加 细致 地 探究 系统 漏洞与不同省市 之间的关系，我们 根据样本数据 中 地域 信息进行了统计和分析。  下图为各省份平均每台手机漏洞数量，数值 越大，说明 该地域安卓手机的 安全性 相对越 低 、越 不安全 ； 数字越小，则 代表 该地域安卓手机的 安全性越高。手机安全性最低的前三名为青海、 宁夏 、甘肃 ，平均每台手机拥有漏洞数分别为 22.8、 22.6、 22.1 个。而安全性最高的前三 名为 上海、 广东 、天津 ， 平均每台手机拥有漏洞数 18.7、 19.4、 19.6。大致上，经济越发达的地区， 用户 所使用的 手机 的 平均漏洞 数量越少， 手机 安全性 相对 越高。   11  用热力图表示如 上 图所示，可以更好的看出平均漏洞数的地域分布特征。颜色越红的地区，手机的安全性越低，颜色越浅的地区，手机安全性越高。   12  第四章  手机系统 安全性 与 用户性别 的 相关性  由于 性别 上 天生的性格、 喜好 等的差异，不同 性别的 用户在选择手机时可能会有不同的侧重点，比如女性用户可能在外观、轻薄 、 颜色等 方面着重 考虑，而男性 可能更侧重 性能、屏幕 尺寸等 因素 。 一部手机在其 服役周期内也可能 会因 时间的 推移而被 不同的使用者 所 使用 ，而 厂商在手机的 升级 维护 中 ，不同手机又会有不同的策略 。  为了 探究 手机系统的安全性与用户性别之间 有无 联系，我们 调研 了 1000 位 用户 的 性别信息， 统计 了 不同 性别 用户 与 其 手机的安全性之间可能的 关系。  从 上 图中，我们可以清晰的看出 ： 男性使用 系统 版本 大于 或 等于 5.1 的 手机 的 比例 远 低于 女性用户 ， 包括各版本的比例中，男性用户使用的比例 也 明显低于女性用户 ； 而 男性用户中 使用 系统版本低于 5.1 的 比例 要 远高于女性 用户所占 的比例， 包括 各版本的比例中，男性用户使用的比例也明显高于女性用户。 即 女性 用户中， 使用新版本手机 的 比例明显高于男性，这一结论在 上述 数据 中 ， 以 6.0 为 界限 统计 的 宏观 角度和 以 不同 安卓 小 版本 单独统计的 微观角度 都成立 。   13  在不同 性别的用户 手机的所存在 的漏洞情况 如上图 所示。 我们 可以看到 女性 手机的 平均系统 版本 数值 约为 22.2 (数值 为系统 API 版本 ，为 Google 官方为便于 安卓 版本的计数 而提供的一个版本的 数字 代号 ， 其中  5.0 为 21， 5.1 为 22)， 即平均使用的版本号接近 Android 5.1， 而男性使用的 平均 版本号为 21.7， 平均使用的 Android 版本号 也 接近 5.1。   对比 上季度的 统计数据 ，男性和女性的平均系统版本均有所 提升 ， 其中女性平均版本号 提升了 0.4， 男性则为 0.7。  在 此次 统计中，我们发现，女性手机 平均 版本比 男性 要高 ， 且均大于 等于 5.1， 而 平均漏洞数女性手机所 存在 的漏洞数量也是 低 于男性 。这与 上面我们分析的漏洞数量与系统新旧不是简单的线性关系 有 关 ， 并且 和我们上述对于不同版本的安卓系统的漏洞数 中 的 高于 5.1版本 的 系统的平均 漏洞个数开始递减 的结论保持一致 。   14  第五章  手机系统 安全 漏洞 的修复  受到 Android 系统的诸多特性 的 影响， 系统 版本的碎片化问题日益突出。 就每一款 手机而言 ， 厂商在其维护周期内，通常会 隔一段 时间 向 用户推送一次升级 版本， 而用户 在 大多数情况下 可以 自主选择升级或不升级 。 综合 这些特性，在 Android 系统 的安全 漏洞 方面 ，也产生了严重的碎片化问题 。  在 Android 系统 中， 存在 一个名为 “Android 安全补丁级别 ”的 字段 ， 它 是 谷歌公司向第三方 安卓 手机厂商 推送 的一个 Android 安全补丁的日期号， 旨在为 安卓设备的 已知 漏洞 的 修复情况做一个简单的说明。 当前谷歌对于 Android 4.4 及其上版本号的安卓系统会定期推送更新， 如果 厂商 遵循 谷歌 公司 的建议正确 打入 补丁， 那么 手机中显示的 安全 补丁 级别 日期越新， 手机 的安全情况 就 相对越安全。  为了 探究手机系统 中 已知安全漏洞 的 修复情况，我们 对 样本中不同设备 型号 、不同 系统安全漏洞 的 修复情况 做了 相关研究。  一、  厂商 漏洞 修复情况  为了 探究国内厂商 为 现存设备 修复 安全漏洞的情况，我们统计了 样本中 不同厂商手机目前 的 安全 补丁级别情况。  下图为各厂商手机中 实际存在的 安全 补丁级别 情况 ， 该情况是 将 各厂商现存手机中实际补丁日期与谷歌官方最新版本（ 2017 年 12 月 ）版本对比 ， 综合 安全补丁级别 最 高、 最 新的手机品牌 前 5 名 。 图中绿 色方块面积越大，说明 该厂商的手机补丁级别 相对越 高，漏洞修复 相对 越及时 ； 相 反，如果 黄色和 橙色面积越大 ， 则 说明补丁级别越低，漏洞修复 越滞后 。  图中 我们可以看出，在 及时 推送 安全补丁 级别方面， VIVO， 三星、 华为 、 小米、 OPPO这 五 个厂商 在本季度 的检测结果 显示 较好 ， 而且在本 季度 的 调研 中 这 五个厂商均 有保持 与 谷歌 最新 安全 补丁同步 的 更新提供 ，这 也显示了 厂商 对于 用户 手机中安全补丁 等级 的逐步重视 。   15  二、  用户 主动升级 意愿  对于每一款安卓 手机 ， 其手机中运行的 系统 大多由手机厂商 在其 维护周期内提供 。 由于手机 服役 周期超出厂商维护周期 ， 往往导致手机系统无法与 最新 的安卓版本 保持一致。 加之不同 厂商对不同手机的 支持维护程度 不尽相同 ，在 某些机型中 ， 有些用户 即使有 意愿将系统保持 与谷歌最新 版本一致 ，但由于厂商 对 此机型无 支持 、推送计划 ， 导致 用户 最多 只能保持到厂商最新版本。  为了 探究用户主动升级系统的意愿，我们统计了不同机型、不同安全补丁级别的 分布 情况。 此 统计为在每个机型中，观察用户是否 主动 保持 这个厂商 对此机型 提供 最新版本。   16  从 数据中可以看出， 约有 46.0%的用户能够保持手机系统中安全补丁等级的版本与厂商所能提供的最新版本保持一致 。 整体上，可以明显发现 近一半 的用户还是 会 保持手机 系统 的更新。 但是 仍 有 14.6%的 用户的系统 版本 滞后 厂商最新版本一个月及以上， 大约 9.0%的用户手机版本滞后 4-6 个月 ， 约 17.9%的用户 手机版本 滞后半年 以上 ， 有 12.4%的 用户 手机版本滞后官方最新 版本 达 一年以上 ，而这些用户将比保持系统更新的用户更多地暴露在更多的漏洞与更大的攻击风险之下 。 对比 上季度的 数据， 各 分布所占比例 略有 变化 ， 但 保持更新部分 仍然保持在 46%左右 ， 本季度滞后半年以上的比例有小幅度上升。  我们统计了近两年来用户与手机厂商保持更新的比例变化情况，如下图所示。  整体来说， 近 半 用户还是 会 愿意保持 系统更新至最新版本 ， 但是 保持 更新 的