2019年上半年度安卓系统安全性生态环境研究.pdf_报告吧baogao8.com-

资源描述

2019 年上半年度安卓系统安全性生态环境研究 2019 年 8 月 13 日摘要此报告数据来源为 “ 360 透视镜 ” （ 360 团队发布的一款专业检测手机安全漏洞的 APP, shouji.360/vulscanner.htm）用户主动上传的 62 万份漏洞检测报告，检测内容包括最近两年的 Android 和 Chrome 安全公告中检出率最高的 104 个漏洞，涵盖了 Android系统的各个层面。检测结果显示，截止至 2019 年 8 月，所测设备中 99.97%的 Android 手机存在安全漏洞，仅有 0.03%的设备完全没有检测出漏洞，同比 2018 年，手机安全程度呈上升趋势。 Android 版本占比最高的 3 个版本分别为 Android 6.0、 Android 5.1 和 Android 7.1，比例分别为 37%、 23%和 19%。与 2018 年相比，用户整体的版本更新有所推进，低版本系统 5.1 和 4.4 数量不断减少， Android 8.0 和 8.1 数量持续在上升，最新的 Android 9.0版本占比也达到了 2%。从漏洞分布上看， Android 版本高低和漏洞数量多少并没有严格的线性关系，由于 Google 目前只对 7.0 及以上系统提供安全更新，所以在高版本系统（ 7.0 及以上版本）上，漏洞数量明显减少。用户手机的平均漏洞数量存在比较明显的地域特征，安徽、北京、上海等地区的用户手机平均漏洞数量最少，黑龙江、宁夏、西藏等地区的用户手机漏洞数量相对较多。大致上，经济越发达的地区，用户所使用的手机的平均漏洞数量越少，手机安全程度相对越高。不同性别的用户平均系统版本较 2018 年均有所提升，同时不同性别的用户漏洞平均漏洞数量也有所下降。女性用户的手机系统版本提升幅度高于男性用户，男性用户的手机平均漏洞数量略高于女性用户。其中 99.4%的设备存在浏览器内核相关漏洞，浏览器内核漏洞最多的设备同时存在 7 个漏洞，有半数以上的设备浏览器内核漏洞数达到 3 个以上，仅有 0.6%的设备不受浏览器内核漏洞影响。安卓手机用户中，约有 45.2%的用户会保持手机系统（特指安全补丁等级）版本与厂商所提供的最新版本保持一致，约有 11.7%的用户的手机系统版本会滞后厂商最新版本 1到 3 个月，接近 5.9%的用户会滞后 4 到 6 个月，其余用户会滞后半年以上。与安卓官方最新更新情况相比，与安卓官方更新保持同步的手机仅占 2.8%，滞后一年以上的手机占 63.5%。由此可见，用户手机因未能及时更新而存在安全漏洞的重要原因之一，就是手机厂商定制开发的安卓系统普遍未能与 Google 官方同步更新，而且滞后性比较明显。关键词：安卓安全、安卓漏洞、漏洞检测目录研究背景 . 1 第一章手机系统安全性综述 . 1 一、系统漏洞的危险等级 . 1 二、系统漏洞的危害方式 . 1 三、系统浏览器内核的安全性 . 3 四、系统漏洞的数量分布 . 5 五、手机安全生态宏观描述 . 6 第二章手机系统版本安全性 . 8 一、各系统版本漏洞情况 . 8 二、安卓系统漏洞缓解措施 . 9 第三章手机系统安全性地域分布 . 11 第四章手机系统安全性与用户性别的相关性 . 13 第五章手机系统安全漏洞的修复 . 15 一、厂商漏洞修复情况 . 15 二、用户主动升级意愿 . 15 三、漏洞修复综合分析 . 17 第六章新品手机安全更新情况 . 18 附录 . 19 1 研究背景在中国， Android 系统作为智能手机中市场占有率最高的移动操作系统，承载着亿万手机用户的生产生活，大量的 Android 开发人员为其添砖加瓦。但树大招风， Android 智能手机也暴露在各种恶意软件、系统漏洞的威胁之中，无数恶意软件、电信诈骗不断挑战用户的安全意识，但各种隐藏在系统之中的系统漏洞对用户的手机安全影响更为可怕。由于 Android 操作系统目前仍未有非常完善的补丁机制为其修补系统漏洞，再加上Android 系统碎片化严重，各手机厂商若要为基于 Android 系统的各种设备修复安全问题则需投入大量人力物力。随着各种系统漏洞不断被披露，现存的 Android 智能手机就像一艘漏水的船，纵然手机安全软件能够缓解一些安全隐患，但系统中的漏洞仍未被有效修补，攻击大门依旧打开。而Android 手机中的第三方安全软件又无法被授予系统的最高权限，因而 Android 系统安全问题一直非常棘手。为了让消费者了解到自己手机的安全性， 360 历时两年打造了中国第一个 Android 平台的手机漏洞检测工具 “ 360 透视镜 ” （ shouji.360/vulscanner.htm），并向社会公开，任何用户和个人都可下载安装。 “ 360 透视镜 ” 应用依据 Android 官方提供的安全补丁更新通知作为漏洞信息来源，在 Android 系统中实现了无需申请敏感权限即可检测 Android 系统中是否存在漏洞这一核心功能，降低了用户了解自己手机安全状况的限制门槛。此报告基于“ 360 透视镜 ”应用用户主动上传的 62 万份漏洞检测报告，检测内容包括近两年（最新漏洞检测更新至 2019 年 6 月） Android 与 Chrome 安全公告中检出率最高的104 个漏洞，涵盖了 Android 系统的各个层面，且都与具体设备的硬件无关。我们统计并研究了样本中的漏洞测试结果数据，并对安全状况予以客观具体的量化，希望引起用户和厂商对于手机系统漏洞的关注与重视，为 Android 智能手机用户的安全保驾护航，并希望以此来推进国内 Android 智能手机生态环境的安全、健康地发展。 1 第一章手机系统安全性综述一、系统漏洞的危险等级此次报告评测的 104 个系统漏洞，按照 Google 官方对系统漏洞的危险评级标准，按照危险等级递减的排序规则，共分为严重、高危、中危三个级别。 “ 严重 ” 级别的漏洞对系统的安全性影响最大，其次为 “高危 ”级别漏洞，然后为 “中危 ”级别漏洞， “ 低危 ” 级别漏洞未入选。在这 104 个漏洞中，按照其危险等级分类，有严重级别漏洞 15 个，高危级别漏洞 68个，中危级别漏洞 21 个。其中高危以上漏洞对用户影响较大，在此次安全评测中对此类漏洞的选取比例达 79.8%。此次系统安全分析结果显示： 90.6%的 Android 设备受到中危级别漏洞的危害， 99.9%的 Android 设备存在高危漏洞， 47.4%的 Android 设备受到严重级别的漏洞影响。二、系统漏洞的危害方式在本次评测中，本报告参照了 Google 官方对系统漏洞的技术类型分类标准并加以适当合并，将 104 个系统漏洞按照各漏洞的特征分类，共分为远程攻击、权限提升、信息泄漏三个类别。远程攻击漏洞是指攻击者可以通过网络连接对用户的系统进行远程攻击的漏洞，权限提升是指攻击者可以将自身所拥有的权限得以提升的漏洞，信息泄漏则为可以获得系统或用户敏感信息的漏洞。在这 104 个漏洞中，按照其危害方式分类，包括远程攻击漏洞 42 个，权限提升漏洞 42个，信息泄漏漏洞 20 个。此次系统安全分析结果显示： 99.9%的设备存在远程攻击漏洞， 98.7%的设备存在权限提升漏洞， 93.2%的设备存在信息泄漏漏洞。与 2018 年检测结果相比，权限提升漏洞占比增加，导致权限提升漏洞影响的设备比例增加比较明显；信息泄漏漏洞影响设备占比有所降2 低，远程攻击类漏洞影响设备占比一直居高不下。为了观察不同类别的漏洞中哪些影响的设备比例最多，我们分别对三种类别的漏洞进行统计排序，挑选出了各类别中影响设备比例占比前三名的漏洞，其中影响最广泛的漏洞为信息泄漏漏洞 CVE-2018-9548， 85.3%的设备都存在这个漏洞， 2018 年影响最广的信息泄漏漏洞 CVE-2018-9421 的影响范围由 73.9%跌落到 57.2%；权限提升漏洞中， CVE-2018-9467 的影响范围有所降低，但依然是影响范围最广的权限提升漏洞； CVE-2018-9491 依然为影响范围最广的远程攻击漏洞，影响 58.7%的设备。三种类型漏洞中，影响设备数量排名第一的只有信息泄漏漏洞 CVE-2018-9548 是新加入的漏洞，这说明历史漏洞的影响范围依然十分庞大。比如 CVE-2015-7555 和CVE-2016-0826，这两个漏洞分别是 Google 在 2017 年 5 月和 2015 年 12 月安全公告中公开的漏洞，目前依然影响 38.1%和 33.9%的设备。对比 2018 年的数据可以发现，历史漏洞的影响比例整体有所下降，但新旧漏洞如同波浪一般，层出不穷并且形势依然严峻。 3 远程攻击漏洞是危险等级高、被利用风险最大的漏洞，也是我们最关注的漏洞，为此我们从 2016 年第四季度开始，跟踪了四个比较重要的远程攻击漏洞的影响变化趋势，如下图所示。整体趋势上看，随着时间的推移，这四个远程攻击漏洞的影响力在不断减小，但是截至2019 年二季度，这四个漏洞依然影响近 30%的用户手机安全。但是随着新的远程攻击漏洞的加入，受远程攻击漏洞影响的设备比例会更高，安全形势不容乐观。三、系统浏览器内核的安全性系统浏览器内核是用户每日使用手机时接触最多的系统组件，不仅仅是指用户浏览网页的独立浏览器，实际上，许多安卓应用开发者考虑到开发速度、保障不同设备之间的统一性等因素，会使用系统提供的浏览器内核组件。因而用户在每日的手机使用中，大多会直接或间接地调用系统浏览器内核。在此次评测中，系统浏览器内核是指 Android 系统的 Webview 组件的核心，在 Android 4.4之前， Android系统的 Webview是基于 Webkit的，在 Android 4.4及以后的系统中， Webview的核心被换成了 Chromium(Chrome 的开源版本，可近似理解为 Chrome)。在最新统计的样本中， Webkit 所占比重几乎为 0，与 2017 年度相似，说明 4.3 及以下系统手机已经淡出历史舞台。截止至本季度，当前 Google 发布的 Android 平台 Chrome 稳定版的内核的最新版本为 Chrome 76，而在此次检测中有约 0.03%的用户将自己手机中的浏览器内核升级至最新，这一数据较 2018 年有所下降。而从图中可以看出， Chrome 内核版本大于 55 的设备占 34%，较 2018 年的 25%提升 9%。总体来说，浏览器内核整体版本有所更新，国内安卓系统生态圈中对浏览器内核的安全程度相对有所增强。 4 为了研究不同浏览器内核版本的安全性，我们统计了不同版本的浏览器内核的平均漏洞个数。下图显示了不同 Chrome 版本平均漏洞数量，相对 2018 年的数据， Chrome 57 版本及以下的设备平均漏洞数量几乎没有变化。 Chrome 57 版本以上的设备漏洞数量有所增加，这主要是因为本次新加的一些浏览器内核漏洞只影响高版本 Chrome 导致的。同时， 2018 年度未检测出漏洞的 Chrome 71 及以上版本在今天也检测出了存在 0.7 个漏洞，浏览器漏洞也是在不断出现并威胁着用户手机的安全。从 Chrome 57 开始，平均漏洞个数逐渐增多，到Chrome 63 达到一个峰值，之后又逐渐减小，这主要是因为新出现的漏洞让高版本浏览器的漏洞数量有所增加，但整体趋势上还是可以看出，保持最新版本的浏览器内核可以有效增强手机浏览器的安全性。在本次报告检测的 104 个漏洞当中，有 15 个漏洞是浏览器内核漏洞，这些漏洞大多是可以被远程利用的，危险性极大。安卓系统浏览器内核漏洞的分布情况如下图所示。其中99.4%的设备存在至少一个浏览器内核漏洞， 15.7%的设备同时存在 4 个浏览器内核漏洞，漏洞数量最多的设备同时存在 7 个漏洞，但所占比例很小。仅有 0.6%的设备不受浏览器内5 核漏洞影响。与 2018 年数据相比，存在浏览器内核漏洞的设备占比升高 0.3%，同时存在 3个浏览器内核漏洞设备所占比例大幅提高，这说明新加入的浏览器内核漏洞影响范围广，新漏洞的出现瞬间挑战了大量设备的安全性，用户依然暴露在浏览器漏洞的威胁之中。四、系统漏洞的数量分布为了研究用户手机中漏洞数量的分布规律，同时对用户手机的安全等级做一个直观的评分，我们统计了所有样本中手机存在漏洞个数的比例分布，结果如下图所示。在此次测试中，我们检测了 104 个已知漏洞，有 99.97%的设备存在至少一个安全漏洞，这一数据较 2018 年 99.99%的比例有所降低，漏洞最多的设备同时包含有 63 个安全漏洞。存在 5 个、 10 个、 20 个及以上漏洞的比例均有所降低，但依然保持较高的比例。为了研究近两年用户手机中漏洞数量的变化，同时反映用户手机安全性的变化情况，我6 们总结了自 2016 年至今的漏洞数量比例分布及趋势，结果如下图所示。可以发现，手机存在漏洞的比例整体居高不下，同时若增加检测力度，用户手机整体的安全形势将会表现的更加严峻。如果手机厂商积极做好手机系统的安全补丁更新工作，现行手机系统的安全防护能力就会有明显的提升。虽然国内厂商在不断地对安卓设备进行安全更新，但是安全漏洞也层出不穷，存在漏洞的设备比重仍然居高不下。五、手机安全生态宏观描述为了研究用户手机中漏洞数量的宏观情况，我们统计了如下宏观描绘图。其中，各个独立的方块都代表一款具体型号的安卓设备；方块面积表示该型号设备使用人数的多少，使用的人数越多则相应面积越大；其颜色由绿色到红色之间的渐变代表了该型号设备的平均安全水平。由图中可以看出，对于市场占有率高的产品其安全更新情况更加乐

展开阅读全文