廣州熱線

　　近年來，隨著華為、小米、OPPO等安卓系手機(jī)廠商發(fā)力，安卓機(jī)的外觀設(shè)計(jì)、系統(tǒng)性能、配置水平均獲得大幅提升。在中國，Android系統(tǒng)也成為了智能手機(jī)中市場占有率最高的操作系統(tǒng)，承載著億萬手機(jī)用戶的工作生活，大量的Android開發(fā)人員為其添磚加瓦。然而樹大招風(fēng)，Android智能手機(jī)也因此暴露在各種惡意軟件、系統(tǒng)漏洞的威脅之中，無數(shù)惡意軟件、電信詐騙不斷影響用戶的手機(jī)安全，其中，各種隱藏在系統(tǒng)之中的系統(tǒng)漏洞對(duì)用戶的手機(jī)安全影響則更為可怕。

　　近期，360互聯(lián)網(wǎng)安全中心發(fā)布了《2017年度安卓系統(tǒng)安全性生態(tài)環(huán)境研究報(bào)告》(以下簡稱：報(bào)告)，報(bào)告稱：目前已有七成漏洞是高危以上，存在較大的安全威脅;用戶系統(tǒng)補(bǔ)丁應(yīng)及時(shí)更新，減少漏洞數(shù)量;87.4%的設(shè)備存在至少一個(gè)瀏覽器內(nèi)核漏洞，18.2%的設(shè)備同時(shí)存在4個(gè)瀏覽器內(nèi)核漏洞;手機(jī)漏洞的數(shù)量非常有指向性，偏向于內(nèi)陸地區(qū)和男人;近半用戶保持同步更新，滯后比例有所下降;

　　七成漏洞高危以上 潛在安全風(fēng)險(xiǎn)較大

　　此次報(bào)告評(píng)測的64個(gè)系統(tǒng)漏洞，按照Google官方對(duì)系統(tǒng)漏洞的危險(xiǎn)評(píng)級(jí)標(biāo)準(zhǔn)，按照危險(xiǎn)等級(jí)遞減的排序規(guī)則，共分為嚴(yán)重、高危、中危三個(gè)級(jí)別。即“嚴(yán)重”級(jí)別的漏洞對(duì)系統(tǒng)的安全性影響最大，其次為“高?！奔?jí)別漏洞，然后為“中?！奔?jí)別漏洞，低危漏洞未入選。

　　在這64個(gè)漏洞中，按照其危險(xiǎn)等級(jí)分類，有嚴(yán)重級(jí)別漏洞11個(gè)，高危級(jí)別漏洞36個(gè)，中危級(jí)別漏洞17個(gè)。其中高危以上漏洞對(duì)用戶影響較大，在此次安全評(píng)測中對(duì)此類漏洞的選取比例達(dá)73.4%。

　　同時(shí)，此次系統(tǒng)安全分析結(jié)果顯示：87.5%的Android設(shè)備受到中危級(jí)別漏洞的危害，93.9%的Android設(shè)備存在高危漏洞，88.1%的Android設(shè)備受到嚴(yán)重級(jí)別的漏洞影響。

　　圖一：接受檢測的64個(gè)安卓系統(tǒng)漏洞的危險(xiǎn)等級(jí)及其影響設(shè)備

　　在此次測試中，360檢測了64個(gè)已知漏洞，有93.94%的設(shè)備存在至少一個(gè)安全漏洞，漏洞最多的設(shè)備甚至包含有49個(gè)安全漏洞。這一數(shù)據(jù)較上一季度95.58%的比例降低幅度不大，其他漏洞個(gè)數(shù)的比例情況與上一季度相比整體有所降低，但依然保持較高的比例。

　　圖二：手機(jī)存在的漏洞個(gè)數(shù)占比

　　小內(nèi)核大關(guān)聯(lián)：手機(jī)瀏覽器安全性全靠它

　　用戶每日使用手機(jī)時(shí)，接觸最多的軟件之一便是瀏覽器了，而用戶能通過瀏覽器成功搜索到相應(yīng)信息，則是瀏覽器內(nèi)核的功勞了，它在其中發(fā)揮著橋梁紐帶作用，為用戶建立起與互聯(lián)網(wǎng)的連接。用戶在使用瀏覽器之外的軟件時(shí)，大多會(huì)直接或間接地調(diào)用系統(tǒng)瀏覽器內(nèi)核，因此，許多安卓應(yīng)用開發(fā)者進(jìn)行軟件開發(fā)時(shí)，還需考慮內(nèi)置瀏覽器內(nèi)核兼容性的問題，這也就決定了它在手機(jī)廠商心目中的地位。

　　報(bào)告提到，瀏覽器內(nèi)核漏洞多數(shù)可通過遠(yuǎn)程方式利用，因而對(duì)于用戶的手機(jī)安全危害較大。安卓系統(tǒng)瀏覽器內(nèi)核漏洞的分布情況如下圖所示。其中87.4%的設(shè)備存在至少一個(gè)瀏覽器內(nèi)核漏洞，18.2%的設(shè)備同時(shí)存在4個(gè)瀏覽器內(nèi)核漏洞，為漏洞數(shù)量最多的設(shè)備。有12.6%的設(shè)備不受這些漏洞影響。較上一季度，瀏覽器安全情況有所上升，但上升比例不大。

　　圖三：安卓系統(tǒng)瀏覽器內(nèi)核漏洞個(gè)數(shù)比例

　　系統(tǒng)與補(bǔ)丁應(yīng)及時(shí)更新 防止系統(tǒng)漏洞作亂

　　從下圖可以看出，安卓系統(tǒng)版本與漏洞數(shù)量并不是簡單的線性關(guān)系。Android 5.0以下版本漏洞數(shù)量隨版本升高而遞增，并不是說明Android版本越高越不安全，而是因?yàn)榇舜螜z測主要關(guān)注的是最近兩年的漏洞，而Android 4.4發(fā)布距今已經(jīng)過去了3年的時(shí)間，因而相對(duì)版本越老的Android系統(tǒng)因?yàn)椴恢С州^新的功能而可能不存在相應(yīng)的漏洞。Android 5.0以上版本，隨著系統(tǒng)版本升高，漏洞數(shù)量急劇減少。

　　實(shí)際上系統(tǒng)的安全性受到廠商重視度、系統(tǒng)功能的多少與變動(dòng)，甚至服役時(shí)間、普及程度、惡意攻擊者的攻擊價(jià)值等等因素的共同影響，但修補(bǔ)了歷史已知漏洞的最新系統(tǒng)往往會(huì)相對(duì)安全些。對(duì)此，360手機(jī)衛(wèi)士安全專家提醒廣大安卓用戶，在個(gè)人設(shè)備配置允許的條件下，應(yīng)及時(shí)更新系統(tǒng)和安全補(bǔ)丁等級(jí)的版本，以降低手機(jī)漏洞被利用的成功率。

　　圖四：不同安卓系統(tǒng)版本的手機(jī)平均漏洞數(shù)

　　手機(jī)漏洞不僅偏愛內(nèi)陸地區(qū) 還偏愛男性用戶

　　據(jù)《報(bào)告》顯示，系統(tǒng)漏洞如騷擾電話、垃圾短信等其他移動(dòng)安全問題一樣，也有著明顯的地域分布特征，相對(duì)來說，它們更愿在內(nèi)陸地區(qū)“橫行”。其中，青海、寧夏、甘肅這三個(gè)省份平臺(tái)每臺(tái)手機(jī)擁有漏洞數(shù)量排名靠前，成為手機(jī)漏洞的重災(zāi)區(qū);而安全性最高的前三名則為上海、廣東、天津，用戶擁有的手機(jī)漏洞相對(duì)較少。

　　圖五：不同地域用戶手機(jī)系統(tǒng)漏洞數(shù)量分布

　　換句話說，也可以說是經(jīng)濟(jì)越發(fā)達(dá)的地區(qū)，用戶所使用的手機(jī)的平均漏洞數(shù)量越少，手機(jī)安全性相對(duì)越高。一方面來說，經(jīng)濟(jì)發(fā)達(dá)地區(qū)的手機(jī)用戶，安全意識(shí)相對(duì)來說較高，在更新系統(tǒng)和安全補(bǔ)丁等級(jí)版本上更積極;另一方面，則同經(jīng)濟(jì)發(fā)達(dá)地區(qū)手機(jī)用戶的經(jīng)濟(jì)實(shí)力有關(guān)，他們往往資金寬裕，所購買的手機(jī)無論是系統(tǒng)性能還是配置，等級(jí)較高，安全也就更有保障。

　　手機(jī)漏洞除了“嫌富愛貧”外，還對(duì)男性群體也是有著一種獨(dú)特的偏愛。據(jù)《報(bào)告》數(shù)據(jù)顯示，女性手機(jī)平均漏洞數(shù)低于男性。女性手機(jī)安全性之所以高于男性，主要在于女性同男性相比，更加謹(jǐn)慎細(xì)致，除及時(shí)更新系統(tǒng)版本外，對(duì)于來源不明的網(wǎng)站、文件等，也不會(huì)輕易打開或下載，因此留給漏洞入侵的機(jī)會(huì)便也減少。當(dāng)然也有一種另外可能，廣大女性同胞在換手機(jī)上相對(duì)男性會(huì)更加頻繁，因此新手機(jī)的手機(jī)系統(tǒng)也就自然而然更加高了。

　　圖六：不同性別手機(jī)系統(tǒng)版本與安全性差異

　　近半用戶保持同步更新 滯后比例有所下降

　　可以看到，近一半的手機(jī)用戶能夠保持手機(jī)系統(tǒng)與廠商最新系統(tǒng)的同步更新，且6成以上的用戶能夠在廠商推出更新版本后三個(gè)月內(nèi)更新自己的手機(jī);但能夠享受與安卓官方最新系統(tǒng)保持同步更新服務(wù)的用戶則僅為5%，滯后時(shí)間小于3個(gè)月的用戶也只有近20%，較上季度比例均有所下降。綜合對(duì)比用戶手機(jī)系統(tǒng)的更新狀態(tài)、安卓官方的更新狀態(tài)和手機(jī)廠商的更新狀態(tài)，360發(fā)現(xiàn)：與安卓官方最新更新情況相比，用戶的手機(jī)系統(tǒng)平均滯后了約11.1個(gè)月，但與手機(jī)廠商已經(jīng)提供該機(jī)型的最新版本相比，則平均只滯后了4.1個(gè)月。

　　圖七：用戶手機(jī)系統(tǒng)與安卓官方及手機(jī)廠商更新情況對(duì)比

　　此外，在及時(shí)推送安全補(bǔ)丁級(jí)別方面，VIVO，三星、華為、小米、OPPO這五個(gè)廠商在本季度的檢測結(jié)果顯示較好，而且在本季度的調(diào)研中這五個(gè)廠商均有保持與谷歌最新安全補(bǔ)丁同步的更新提供，這也顯示了廠商對(duì)于用戶手機(jī)中安全補(bǔ)丁等級(jí)的逐步重視。

　　圖八：各品牌現(xiàn)存用戶安卓系統(tǒng)實(shí)際補(bǔ)丁日期分布

　　《2017年度安卓系統(tǒng)安全性生態(tài)環(huán)境研究報(bào)告》是以“360透視鏡”應(yīng)用用戶主動(dòng)上傳的80萬份漏洞檢測報(bào)告為數(shù)據(jù)背書的，檢測內(nèi)容包括近兩年Android與Chrome安全公告中檢出率最高的64個(gè)漏洞，涵蓋Android系統(tǒng)的各個(gè)層面。此次報(bào)告發(fā)布，旨在引起用戶和廠商對(duì)于手機(jī)系統(tǒng)漏洞的關(guān)注與重視，為Android智能手機(jī)用戶的安全保駕護(hù)航，并希望以此來推進(jìn)國內(nèi)Android智能手機(jī)生態(tài)環(huán)境的安全、健康發(fā)展。