360-2017中国网站安全形势分析报告（网络安全）-2018.1.12-24页.pdfVIP

2017 年度 安卓系统安全性生态环境 研究 2018 年 1 月 12 日 摘 要  此报告数据来源为“360 透视镜”（360 发布的一款专业检测手机安全漏洞的 APP, /vulscanner.htm ）用户主动上传的80 万份漏洞检测报告，检测内容包 括最近两年的Android 和Chrome 安全公告中检出率最高的64 个漏洞，涵盖了Android 系统的各个层面。  检测结果显示，截止至2017 年 12 月，所测设备中93.94% 的Android 手机存在安全漏 洞，有6.06% 的设备完全没有检测出漏洞，安全程度同比上升1.64%，这一数据刷新了 国内安卓系统安全生态情况的最高纪录，同比2016 年，手机安全程度呈上升趋势。  Android 版本占比最高的3 个版本分别为Android 6.0 、Android 5.1 和 Android 4.4 ，比 例分别为38%、28%和22%，Android 7.0 和7.1 版本所占比例分别为3%和4% ，而最新 版的Android 8.0 和8.1 版本占比几乎为0% 。从结果上看，Android 版本高低和漏洞数 量多少并没有严格的线性关系，在高版本系统上（7.0 及以上），漏洞数量明显减少，平 均漏洞数有所降低。与上季度相比，用户整体的版本更新和推进变化不大，Android 6.0 依旧是用户量最多的系统，高版本系统7.0 和7.1 继续保持缓慢上升趋势；在平均漏洞 数方面，以6.0 版本为分界线，6.0 及以下平均漏洞数量整体保持上升，而7.0 及以上的 平均漏洞数相比上个季度则有所降低。虽然检测的漏洞总案例在继续增加，但高版本系 统平均漏洞降低的这种情况与新版本系统中安卓系统安全补丁的普及有很大的关系。  用户手机的平均漏洞数量存在比较明显的地域特征，上海、广东、天津等地区的用户手 机平均漏洞数量最少，青海、宁夏、甘肃等地区的用户手机漏洞数量相对较多。这一数 据的顺序较上一季度略有变化，整体平均漏洞数基本持平。  不同性别的用户平均系统版本较上一季度均有所提升，男性用户的手机版本平均比女性 用户的手机版本低，女性用户的手机平均漏洞数量比男性用户低。  在安全更新推送时效性方面，本季度的检测结果显示推送安全更新最及时的 TOP 5 品 牌分别为VIVO 、三星、华为、小米和OPPO 。  其中87.4% 的设备存在浏览器内核相关漏洞，浏览器内核漏洞最多的设备同时存在4 个 漏洞，占比18.2%，仅有 12.6% 的设备不受浏览器内核漏洞影响。与上一季度相比，浏 览器安全情况有较大缓解，通过我们的观测，这与浏览器内核的升级有直接关联，新版 本浏览器内核所占比例明显有所增长。  安卓手机用户中，约有46.0% 的用户会保持手机系统（特指安全补丁等级）版本与厂商 所提供的最新版本保持一致，约有 14.6% 的用户的手机系统版本会保持滞后厂商最新版 本1 到3 个月，接近9% 的用户会滞后4 到6 个月，其余用户会滞后半年以上。其中保 持手机系统更新的用户相较上个季度无明显差异，同比2016 年，也无明显差异。  与安卓官方最新更新情况相比，用户手机系统平均滞后了约 11.1 个月；但与手机厂商 已经提供该机型的最新版本相比，则平均只滞后了4.1 个月。这两项数据上看，安全补 丁的更新环比均有所滞后，但整体差距不大。由此可见，用户手机因未能及时更新而存 在安全漏洞的重要原因之一，就是手机厂商普遍未能实现其定制开发的安卓系统与 Google 官方同步更新，而且滞后性比较明显。 关键词：安卓安全、安卓漏洞、漏洞检测 目 录 研究背景 1 第一章 手机系统安全性综述 1 一、 系统漏洞的危险等级 1 二、 系统漏洞的危害方式 1 三、 系统浏览器