与安卓官方同步更新系统用户仅为7.6% 360发布安卓系统平台报告
手机 安全形势日益严峻,电信诈骗的手段不断翻新,挑战着我们的安全意识,而我们的手机也时刻遭受着各种恶意软件、系统漏洞的威胁。虽然国内厂商在不断地对安卓设备进行安全更新,但是安全漏洞也在层出不穷,存在漏洞的设备比重仍然居高不下。日前,中国最大的 互联网 安全公司360发布了《2017年第二季度安卓系统安全性生态环境研究报告》,从系统漏洞登记、危害方式、漏洞数量分布、系统版本安全性、用户地域及性别分布等多个维度详细分析了安卓手机当前面临的各种安全挑战。该报告基于“360透视镜”应用用户主动上传的120万份漏洞检测样本,准确性及权威性非常高,具有重要参考价值。
男性用户手机平均漏洞多于女性青甘宁地区用户漏洞最多
为了探究手机系统的安全性与用户性别之间有无联系,360公司调研了1100位用户的性别信息,统计了不同性别用户与其手机的安全性之间可能的关系。在不同性别中,男性使用系统版本大于或等于5.0的手机的比例远低于女性用户,包括各版本的比例中,男性用户使用的比例也明显低于女性用户;而男性用户中使用系统版本低于5.0的比例要远高于女性用户所占的比例。
图1 不同性别手机系统版本与安全性差异
女性手机的平均系统版本数值约为21.5 (数值为系统API版本,为Google官方为便于安卓版本的计数而提供的一个版本的数字代号,其中4.4为19,5.0为21),即平均使用的版本号大于Android 5.0,而男性使用的平均版本号为20.8,平均使用的Android版本号小于5.0。男性用户手机平均漏洞个数为20.2,女性用户手机平均漏洞个数为19.3,低于男性平均漏洞个数。
在此次统计中也发现,女性手机平均版本比男性要高,且均大于5.0,而平均漏洞数女性手机所存在的漏洞数量也是低于男性。对比上季度的统计数据,男性和女性的平均系统版本均有所提升,其中女性平均版本号提升了0.2,男性则为0.1。
男性用户虽然对手机配置最为关注,但为何男性用户手机漏洞比女性用户多?这并不是由于操作习惯差异导致,而是由于女性用户手机系统平均版本要高于男性用户,而高版本的手机系统面临的攻击及漏洞都要比低版本系统的要少。看来在现实情况中,女性用户更喜欢追逐新潮和时尚的手机,女性用户手机的系统配置是略高于男性用户,这就不难理解为何男性用户手机系统平均漏洞比女性用户多了。
在安全性地域分布图中,手机安全性最低的前三名为青海、甘肃、宁夏,平均每台手机拥有漏洞数分别为21.5、21、20.9个。而安全性最高的前五名为上海、西藏、北京、天津、广东,平均每台手机拥有漏洞数18.9、18.9、19.1,19.3,19.3。大致上, 经济 越发达的地区,用户所使用的手机的平均漏洞数量越少,手机安全性相对越高。
图2 全国各省级行政区用户手机平均漏洞数量
图3不同地域用户手机系统漏洞数量分布
用热力图表示图3所示,可以更好的看出平均漏洞数的地域分布特征。颜色越红的地区,手机的安全性越低,颜色越浅的地区,手机安全性越高。
图4 不同性别用户安卓手机系统版本比例分布
99.9% Android 设备存在中危级别漏洞 99.9%的设备存在远程攻击漏洞
在报告评测的51个系统漏洞中,按照其危险等级分类,有严重级别漏洞10个,高危级别漏洞26个,中危级别漏洞15个。其中高危以上漏洞对用户影响较大,在此次安全评测中对此类漏洞的选取比例达80.4%。系统安全分析结果显示:99.9%的Android设备受到中危级别漏洞的危害,99.1%的Android设备存在高危漏洞,94.9%的Android设备受到严重级别的漏洞影响。
图5 接受检测的51个安卓系统漏洞危险等级及影响设备比例
图6手机存在的漏洞个数占比分布
在51个已知漏洞中,有高达99.99%的手机存在安全漏洞,仅有0.01%的手机不存在本次评测中的51个漏洞,处于相对安全状态。存在5个及以上漏洞的手机在总样本中占比达94.28%,存在漏洞最多的手机中有多达41个漏洞。
在这51个漏洞中,按照其危害方式分类,有远程攻击漏洞23个,权限提升漏洞20个,信息泄漏漏洞8个。此次系统安全分析结果显示:99.9%的设备存在远程攻击漏洞,94%的设备存在权限提升漏洞,96.6%的设备存在信息泄露漏洞。
图7 接受检测的51个安卓系统漏洞危害类型分布及影响设备比例
报告显示,影响最广泛信息泄露漏洞仍然为CVE-2016-1677,77.1%的设备都存在这个漏洞,环比降低3.8%;权限提升漏洞中,CVE-2016-3921影响最广,70.7%的设备均受影响,环比降低7.1%;远程攻击漏洞中,CVE-2015-7555影响设备最多,影响93.7%的设备。值得注意的是,上一季度影响设备最多的此类漏洞CVE-2016-3861在本季度则退居二线,影响设备数量也降低了6.6%。通过与第一季度数据对比发现,历史漏洞的影响比例整体有所下降,说明在2017年第二季度中,随着新机型和系统更新的加入,安卓设备的整体安全性有所提升,历史漏洞明显有所缓解,但补丁的更新情况较安卓官方仍比较滞后。
图8 不同类型漏洞影响设备比例TOP3
浏览器内核漏洞多数可通过远程方式利用,对手机安全危害较大。在安卓系统浏览器内核漏洞的分布情况图中,97.6%的设备存在至少一个浏览器内核漏洞,19.7%的设备同时存在4个浏览器内核漏洞,漏洞数量最多的设备同时存在5个漏洞,有2.4%的设备不受这些漏洞影响。整体来看浏览器安全状态有所缓解,浏览器内核版本的更新所带来的效果十分显著。
图9 安卓系统浏览器内核漏洞个数比例
Android 5.0 用户量最大,漏洞最多
在120万份样本中,Android系统占比最高的3个版本分别为Android 5.1、 Android 4.4和Android 6.0,比例分别达到31%、25%和24%,而最新版的Android 7.0和7.1版本所占比例仅接近于1.6%。与上一季度相比,Android 5.0及以上的设备所占比重从65%提升至67%,版本更新增速有所降低。虽然相比于上一季度Android 5.1仍然是用户量最大的版本,但使用Android 6.0版本的用户明显有很大的增长,并且与Android5.1版本的用户量仅差1%左右,预计到下一季度,Android 6.0系统或将取代Android 5.1版本成为最流行的系统,带来更高的安全性。
图10 不同安卓版本所占比例
厂商重视度、系统功能的多少与变动,甚至服役时间、普及程度、恶意攻击者的攻击价值等等因素共同影响了系统的安全性。从图中可看出Android 5.1及其以下版本平均漏洞数量较多;Android 6.0以上系统则更为安全,平均漏洞数量急剧降低。
图11 不同安卓系统版本的手机平均漏洞数
Android 5.0以下版本漏洞数量随版本升高而递增,并不是说明Android版本越高越不安全,而是因为此次检测主要关注的是最近两年的漏洞。环比上季度的数据,所有版本系统的平均漏洞数均有所增加,这是由于本季度又新修复和公开了一些漏洞,而这些漏洞中有些漏洞影响范围十分广泛。
47.7% 的用户更新手机系统补丁 手机厂商系统更新慢
图12 各品牌现存用户安卓系统实际补丁日期分布
在安全更新推送时效性方面,本季度的检测结果显示推送安全更新最及时的TOP 5品牌分别为VIVO、华为、三星、小米和OPPO。在本季度的调研中这五个厂商均有保持与谷歌最新安全补丁同步的更新提供,这也显示了厂商对于用户手机中安全补丁等级的逐步重视。
图13 用户手机系统更新滞后时间分布
安卓手机用户中,约有47.7%的用户能够保持手机系统中安全补丁等级的版本与厂商所能提供的最新版本保持一致。整体上,可以明显发现近一半的用户还是会保持手机系统的更新。但是仍有16.9%的用户的系统版本滞后厂商最新版本一个月及以上,大约14.0%的用户手机版本滞后4-6个月,约13.6%的用户手机版本滞后半年以上,有7.9%的用户手机版本滞后官方最新版本达一年以上,而这些用户将受到更大的攻击风险。
近一半(47.5%)的手机用户能够保持手机系统与厂商最新系统的同步更新,且6成以上的用户能够在厂商推出更新版本后三个月内更新自己的手机;但能够享受与安卓官方最新系统保持同步更新服务的用户则仅为7.6%,滞后时间小于3个月的用户也不足1/4。
图14 用户手机系统与安卓官方及手机厂商更新情况对比
与安卓官方最新更新情况相比,用户手机系统平均滞后了约8.9个月;但与手机厂商已经提供该机型的最新版本相比,则平均只滞后了3.2个月。用户手机因未能及时更新而存在安全漏洞的重要原因之一,就是手机厂商普遍未能实现其定制开发的安卓系统与Google官方同步更新,而且滞后性比较明显。