2017中国手机安全生态报告.pdfVIP

2017 年 中国手机安全生态报告 摘 要 Android 手机系统漏洞  中国泰尔终端实验室对目前在市场上销售的77 个厂商262 款终端进行了抽样测试，本 次测试仅以高危和严重漏洞为主要测试对象，最终发现在测试手机中，平均未修复漏洞 比为19%，平均每款终端含有未修复漏洞5 个左右。  本次测试漏洞数量最多的手机多达29 个高危和严重漏洞，充分说明安卓手机安全生态 不容乐观。  本次测试泰尔终端实验室单独选取了 8 个应优先修复的紧急严重漏洞对终端修复情况 进行了分析。各厂家对紧急的严重漏洞能够及时发现并进行修复，这说明面对紧急严重 漏洞，各厂家能够认识到问题的严重性，也反映厂家是具有一定的漏洞修复能力。  通过360 的检测发现，94.1% 的Android 设备受到中危级别漏洞的危害，95.4% 的Android 设备存在高危漏洞，90.6%的Android 设备受到严重级别的漏洞影响。  经济越发达的地区，用户所使用的手机的平均漏洞数量越少，手机安全性相对越高。 Android 手机预装软件  2016 全年抽样检测1486 款移动智能终端，通过统计数据可知，全年机型个数随时间呈 下降趋势，终端数量呈下降趋势 单个终端平均预置应用数量保持平稳。  2016 年全年预置的桌面应用约 10 万个，单个终端桌面应用最少预置 14 个，最多预置 264 个。终端预置过多应用 知名应用主导第三方应用预置市场。  收集用户数据、流量耗费为预置应用不合格主因。近三成预置应用申请敏感权限、设备 属性、外部存储、联系人数据申请积极性较高。  2017 年，终端应用预置通用广告插件占比约为0.34%，如图2-6。由于预置应用以系统 应用为主，虽然预置广告插件比例较低但整体呈现上涨趋势。  加壳应用数量占所有预置应用的0.37%，整体预置应用加固程度较低，给用户造成安全 隐患。 Android 手机APP 隐私获取  相比2016 年，非游戏类App2017 年越界获取的各种隐私权限显著减少。但核心隐私权 限中的越界获取“通话记录”和越界“读取彩信记录” 出现较大幅度增长，用户仍然 需要警惕，越界获取“通话记录”权限的App 由3.2%增长到 6%，越界获取“彩信记 录”权限的App 比例由0.2%增长到14.3% 。  相比2016 年，2017 年游戏类App 获取的普通隐私权限较大增长。“获取设备信息”权 限的App 比例由94.8%增长到96% ， “打开WiFi 开关”权限的App 比例由65.5%增 长到91% ，“打开数据开关”权限的App 比例由56.9%增长到71% 。  相比2016 年， 2017 年教育类App 获取的重要隐私权限普遍增长。其中，获取“使用 话筒录音”权限的App 比例由65%增加到68% ；获取“打开摄像头”权限的App 比例 由53%增加到74% ；获取“发送短信”权限的App 比例由11%增加到13%。  相比2016 年，直播类App2017 年越界获取的各种隐私权限有所增加（越界获取ROOT 权限除外）。其中，越界获取“位置信息”权限的App 比例由2.0%增加到4.5% ；越界 获取“访问联系人”权限的App 比例由1%增加到 3.7% ；越界获取“使用话筒录音” 权限的App 比例由1%增加到1.2%。  投资理财类App 主要获取“位置信息”、“打开摄像头”、“设备信息”、“WiFi 开关”等 隐私权限。  投资理财类 App 越界获取“读取通话记录”、“读取位置信息” 、“打开蓝牙开关”和 “访问联系人”权限较多，分别有7.7%、5.7%、4.2%和 4.1% 的App 没有相关功能而 获取了以上四种权限。 恶意程序：  2017 年1 月-7 月，360 互联网安全中心累计监测到移动端用户感染恶意程序1.3 人次， 平均每天恶意程序感染量达到了61.5 万人次；新增恶意程序样本483.9 万个，平均每天 截获新增手机恶意程序样本近2.3 万