信息來(lái)源：Freebuf

安全測(cè)評(píng)綜述

針對(duì)手機(jī)系統(tǒng)的安全性測(cè)試，我們從近期的Android和chrome安全公告中，選取了25個(gè)漏洞作為評(píng)判手機(jī)安全性的依據(jù)。這25個(gè)漏洞的基本信息如表1所示，包括漏洞對(duì)外公布的時(shí)間、漏洞的嚴(yán)重級(jí)別、漏洞類(lèi)型和漏洞簡(jiǎn)述。漏洞的嚴(yán)重級(jí)別有嚴(yán)重、高、中三個(gè)級(jí)別。漏洞的類(lèi)型我們分了三類(lèi)，包括遠(yuǎn)程攻擊漏洞、權(quán)限提升漏洞和信息泄露漏洞。

漏洞編號(hào)	公布時(shí)間	嚴(yán)重級(jí)別	漏洞類(lèi)型	漏洞簡(jiǎn)述
CVE-2015-1805	2016.03.18	嚴(yán)重	權(quán)限提升	Linux內(nèi)核root權(quán)限提升漏洞
CVE-2016-0838	2016.04.07	嚴(yán)重	遠(yuǎn)程攻擊	Android Mediaserver組件遠(yuǎn)程代碼執(zhí)行漏洞
CVE-2016-0841	2016.04.07	嚴(yán)重	遠(yuǎn)程攻擊	Android Mediaserver組件遠(yuǎn)程代碼執(zhí)行漏洞
CVE-2016-2430	2016.05.04	嚴(yán)重	權(quán)限提升	Android Debuggerd組件權(quán)限提升漏洞
CVE-2016-2463	2016.06.07	嚴(yán)重	遠(yuǎn)程攻擊	Android Mediaserver組件遠(yuǎn)程代碼執(zhí)行漏洞
CVE-2015-1532	2015.01.27	高	遠(yuǎn)程攻擊	Android 9patch 圖片解析堆溢出漏洞
CVE-2015-3849	2015.09.09	高	權(quán)限提升	Android Region組件權(quán)限提升漏洞
CVE-2015-6764	2015.12.01	高	遠(yuǎn)程攻擊	Chrome JS V8引擎內(nèi)存訪(fǎng)問(wèn)越界漏洞
CVE-2015-6771	2015.12.01	高	遠(yuǎn)程攻擊	Chrome JS V8引擎內(nèi)存訪(fǎng)問(wèn)越界漏洞
CVE-2016-0830	2016.03.01	高	遠(yuǎn)程攻擊	Android Bluetooth組件遠(yuǎn)程代碼執(zhí)行
CVE-2016-0826	2016.03.08	高	權(quán)限提升	Android Mediaserver組件權(quán)限提升漏洞
CVE-2016-1646	2016.03.24	高	遠(yuǎn)程攻擊	Chrome JS V8引擎內(nèi)存越界讀漏洞
CVE-2016-0847	2016.04.07	高	權(quán)限提升	Android Telecom 組件權(quán)限提升漏洞
CVE-2016-2412	2016.04.07	高	權(quán)限提升	Android System_server組件權(quán)限提升漏洞
CVE-2016-2416	2016.04.07	高	信息泄露	Android Mediaserver組件信息泄露漏洞
CVE-2016-2439	2016.04.07	高	遠(yuǎn)程攻擊	Android Bluetooth組件遠(yuǎn)程代碼執(zhí)行
CVE-2016-2449	2016.05.04	高	權(quán)限提升	Android Mediaserver組件權(quán)限提升漏洞
CVE-2016-2495	2016.06.01	高	遠(yuǎn)程攻擊	Android Mediaserver組件遠(yuǎn)程拒絕服務(wù)
CVE-2016-2476	2016.06.07	高	權(quán)限提升	Android Mediaserver組件權(quán)限提升漏洞
CVE-2016-3744	2016.07.01	高	遠(yuǎn)程攻擊	Android Bluetooth組件遠(yuǎn)程代碼執(zhí)行
CVE-2016-3754	2016.07.01	高	遠(yuǎn)程攻擊	Android Mediaserver組件遠(yuǎn)程拒絕服務(wù)
CVE-2016-2426	2016.04.07	中	信息泄露	Android Framework 信息泄露漏洞
CVE-2016-1677	2016.05.25	中	信息泄露	Chrome JS V8引擎類(lèi)型混淆漏洞
CVE-2016-2496	2016.06.07	中	權(quán)限提升	Android Framework UI組件權(quán)限提升漏洞
CVE-2016-3760	2016.07.01	中	權(quán)限提升	Android Bluetooth組件權(quán)限提升漏洞

表1 漏洞基本信息

第一章 整體安全性分析

一、整體安全檢測(cè)結(jié)果

本次報(bào)告我們共計(jì)統(tǒng)計(jì)了22萬(wàn)樣本，涵蓋基于A(yíng)ndroid4.1 – Android 6.0系統(tǒng)的3000余種機(jī)型。從整體上看，國(guó)內(nèi)Android智能手機(jī)的安全狀況極不樂(lè)觀(guān)，絕大部分設(shè)備都存在系統(tǒng)漏洞。為了更加直觀(guān)的反應(yīng)國(guó)內(nèi)Android智能手機(jī)的整體安全狀況，我們制作了如下矩形樹(shù)圖，如圖1所示。在此圖中，我們以不同的手機(jī)型號(hào)作為分割點(diǎn)，針對(duì)每個(gè)型號(hào)的手機(jī)分析出了該型號(hào)的手機(jī)的平均漏洞數(shù)，以此來(lái)代表該型號(hào)手機(jī)整體的安全狀態(tài)，漏洞數(shù)從0個(gè)漏洞至21個(gè)漏洞均有存在，對(duì)應(yīng)圖中各色塊的顏色深淺，其中綠色代表相對(duì)安全，紅色則代表相對(duì)不安全。同時(shí)各機(jī)型的使用人數(shù)對(duì)應(yīng)圖中色塊的面積，使用人數(shù)越多，色塊的面積越大，在整個(gè)樣本中所占的比例越大。綜合上述兩個(gè)方面，以此較為合理的展現(xiàn)國(guó)內(nèi)Android智能手機(jī)整體的安全狀態(tài)。

圖1 樣本機(jī)型平均漏洞數(shù)

通過(guò)圖中我們可以看出，國(guó)內(nèi)手機(jī)市場(chǎng)整體處于極度危險(xiǎn)的狀態(tài)，而使用量較多的機(jī)型中，平均每個(gè)機(jī)型的系統(tǒng)中存在的系統(tǒng)漏洞也都處于10個(gè)以上，而相對(duì)較安全一些的手機(jī)則使用量不多，因此也一定程度上造就了國(guó)內(nèi)針對(duì)安卓設(shè)備的各類(lèi)木馬病毒攻擊紛繁不斷的情況。

在我們選取的25個(gè)漏洞中，有4個(gè)漏洞是2016年3月份之前的漏洞，其余是2016年3月到7月之間的漏洞，統(tǒng)計(jì)了不同月份的漏洞影響范圍。結(jié)果如圖2所示：

圖2 不同月份的漏洞影響范圍

從圖中可以看出，影響范圍最廣的是2016年3月份的漏洞。另外，我們還統(tǒng)計(jì)了25個(gè)漏洞中每個(gè)漏洞所影響的設(shè)備數(shù)量。統(tǒng)計(jì)結(jié)果如圖3所示：

              

圖3 每個(gè)漏洞影響設(shè)備數(shù)

從結(jié)果可以看出，25個(gè)漏洞中21個(gè)漏洞的影響范圍都很廣，影響設(shè)備數(shù)量在17萬(wàn)之上。有4個(gè)漏洞的影響范圍比較小，這4個(gè)漏洞是與系統(tǒng)的藍(lán)牙及電話(huà)組件相關(guān)的，大部分OEM廠(chǎng)商會(huì)對(duì)這兩個(gè)組件做定制修改，會(huì)干擾漏洞檢測(cè)的結(jié)果。

二、按漏洞嚴(yán)重級(jí)別統(tǒng)計(jì)結(jié)果

在測(cè)試的22萬(wàn)設(shè)備中，我們統(tǒng)計(jì)了不同危險(xiǎn)等級(jí)的漏洞所影響的設(shè)備數(shù)量，結(jié)果如下圖4所示：

圖4 不同危險(xiǎn)級(jí)別的漏洞的影響范圍

有197988臺(tái)設(shè)備存在嚴(yán)重級(jí)別的漏洞，有205149臺(tái)設(shè)備存在高危級(jí)別漏洞，有197988臺(tái)設(shè)備存在中危級(jí)別的漏洞。分別占設(shè)備總數(shù)的91.2%，94.5%，91.2%。

三、按漏洞類(lèi)型統(tǒng)計(jì)結(jié)果

在22萬(wàn)樣本設(shè)備中，我們按照漏洞的技術(shù)類(lèi)型將漏洞劃分為三類(lèi)，分別是遠(yuǎn)程攻擊漏洞，提權(quán)漏洞，信息泄露漏洞。我們統(tǒng)計(jì)了這三種類(lèi)型漏洞所影響的設(shè)備數(shù)量，統(tǒng)計(jì)結(jié)果如下圖5所示：

圖5 不同漏洞類(lèi)型的漏洞影響范圍

有205149臺(tái)設(shè)備存在遠(yuǎn)程攻擊類(lèi)漏洞，有197988臺(tái)設(shè)備存在權(quán)限提升類(lèi)漏洞，有197988臺(tái)設(shè)備存在信息泄露類(lèi)漏洞。分別占設(shè)備總數(shù)的94.5%，91.2%，91.2%。

第二章漏洞分布特征

一、地域分布特征

在所有的樣本數(shù)據(jù)中，我們統(tǒng)計(jì)了用戶(hù)的地域分布，結(jié)果如下圖6所示。所有用戶(hù)共來(lái)自31個(gè)省市和直轄市，用戶(hù)來(lái)源最多的是廣東省，用戶(hù)來(lái)源最少的是西藏。

                                                     圖6 樣本的省份分布

由于每個(gè)省份的用戶(hù)基數(shù)不同，因此我們計(jì)算了每個(gè)省份的漏洞平均數(shù)。結(jié)果如下圖7所示：

圖7 各省份漏洞平均數(shù) 

從上圖可以看出，平均漏洞數(shù)最少的是北京和上海；平均漏洞數(shù)最多的是寧夏、河北等地。用熱力圖表示如圖8所示，可以更好的看出平均漏洞數(shù)的地域分布特征。

圖8漏洞數(shù)量的地域分布特征

二、性別分布特征

在統(tǒng)計(jì)的22萬(wàn)設(shè)備中，我們進(jìn)一步統(tǒng)計(jì)了男女性別情況。樣本統(tǒng)計(jì)結(jié)果顯示，樣本男女比例約為6.9:1。結(jié)果如下圖9所示：

圖9 樣本中男女性別比例

在性別樣本中，我們統(tǒng)計(jì)了不同性別用戶(hù)的手機(jī)版本號(hào)分布，統(tǒng)計(jì)結(jié)果如下圖10所示：

圖10 不同性別手機(jī)系統(tǒng)版本對(duì)比

在女性手機(jī)用戶(hù)中，Android6.0的占比約為10.43%；在男性手機(jī)用戶(hù)中，Android 6.0的占比約為6.48%。從圖中也可以明顯的看出，女性用戶(hù)的手機(jī)系統(tǒng)版本普遍高于男性用戶(hù)。

為了更直觀(guān)的體現(xiàn)性別與系統(tǒng)版本及手機(jī)漏洞數(shù)量三者之間的關(guān)系，我們計(jì)算了所取樣本的男女平均漏洞數(shù)量和平均SDK版本號(hào)，結(jié)果如下圖11所示：

圖11 性別與漏洞數(shù)量、版本號(hào)的關(guān)系

從圖中我們可以看出：女性用戶(hù)的手機(jī)系統(tǒng)版本普遍比男性高，女性用戶(hù)的手機(jī)漏洞數(shù)量普遍比男性用戶(hù)少。

三、手機(jī)root與漏洞數(shù)量的關(guān)系

手機(jī)root一般都會(huì)影響系統(tǒng)的OTA升級(jí)，所以我們統(tǒng)計(jì)了22萬(wàn)設(shè)備的root情況。其中62225臺(tái)設(shè)備已經(jīng)被root，104181臺(tái)設(shè)備沒(méi)有root，其余設(shè)備root狀況未知。比例如圖12所示，

圖12 設(shè)備root比例

根據(jù)統(tǒng)計(jì)的root數(shù)據(jù)，我們計(jì)算了樣本中漏洞平均數(shù)與有無(wú)root權(quán)限的關(guān)系，結(jié)果如圖13所示，從圖中我們可以看出，漏洞數(shù)多的設(shè)備更有可能是可被root的設(shè)備。

圖13 root與漏洞數(shù)量的關(guān)系

四、手機(jī)發(fā)布時(shí)間與漏洞數(shù)量的關(guān)系

我們從樣本中選取了使用量最多的1000款手機(jī)，然后根據(jù)“中關(guān)村在線(xiàn)”(zol.com.cn)的數(shù)據(jù)，找到了其中約700款手機(jī)的數(shù)據(jù)，據(jù)此統(tǒng)計(jì)出了手機(jī)發(fā)布時(shí)間與漏洞數(shù)量的關(guān)系。結(jié)果如圖14所示：

圖14 手機(jī)發(fā)布時(shí)間與漏洞數(shù)量的關(guān)系

從圖中可以看出，從整體趨勢(shì)上看，發(fā)布時(shí)間越新的手機(jī)，漏洞數(shù)量會(huì)越少。但也存在一些特殊情況，比如2015年11月發(fā)布的手機(jī)的存在的漏洞比較多，這是因?yàn)橐恍㎡EM廠(chǎng)商不及時(shí)給手機(jī)系統(tǒng)打補(bǔ)丁導(dǎo)致的。

第三章 其他安全性分析

一、Android系統(tǒng)版本安全性分析

我們統(tǒng)計(jì)了樣本中Android系統(tǒng)版本的分布情況，結(jié)果如圖15所示，在所統(tǒng)計(jì)的樣本中，Android 4.4的占比最高，占比最低的是Android 4.3。Android 6.0的占比僅為7%。

圖15版本分布

我們統(tǒng)計(jì)了漏洞平均數(shù)與Android版本的關(guān)系，在樣本范圍內(nèi)，結(jié)果如圖16所示，

圖16 版本與漏洞數(shù)量的關(guān)系

從圖中可以看出受影響最大的是Android 4.3，受影響最小的是Android 6.0。系統(tǒng)版本越高，漏洞數(shù)量越少。

二、系統(tǒng)瀏覽器內(nèi)核安全性分析

瀏覽器內(nèi)核是指Android系統(tǒng)的webview組件的核心，在A(yíng)ndroid 4.4之前，Android系統(tǒng)的webview是基于webkit的，在A(yíng)ndroid 4.4之后系統(tǒng)webview的核心被換成了Chromium。我們統(tǒng)計(jì)了所有22萬(wàn)設(shè)備的瀏覽器內(nèi)核版本，統(tǒng)計(jì)結(jié)果如圖17所示，

圖17 系統(tǒng)瀏覽器內(nèi)核版本分布

從圖中可以看出，瀏覽器內(nèi)核版本占比最高的是Chrome 33，占比為40%。目前Chrome的最高版本為53，在獲取的22萬(wàn)樣本數(shù)據(jù)中，僅有38臺(tái)設(shè)備的Chrome版本為53。大部分設(shè)備的瀏覽器內(nèi)核版本存在更新滯后的問(wèn)題。

在我們選取的25個(gè)漏洞中，包含4個(gè)Chrome漏洞。這類(lèi)漏洞一般會(huì)影響Android系統(tǒng)webview組件的安全性，且多數(shù)漏洞可通過(guò)遠(yuǎn)程方式利用，危害較大。我們統(tǒng)計(jì)了樣本中Chrome漏洞的分布情況，結(jié)果如圖18所示，其中91%的設(shè)備存在至少一個(gè)Chrome漏洞，74%的設(shè)備同時(shí)存在4個(gè)Chrome漏洞，僅有9%的設(shè)備不受這四個(gè)漏洞影響。

圖18 漏洞影響范圍

三、安全補(bǔ)丁程序級(jí)別與手機(jī)安全性的關(guān)系

在2015年Android stagefright漏洞爆發(fā)之后，Google在每個(gè)月的安全更新中加入了安全補(bǔ)丁程序級(jí)別(Android Security Patch Level)，用以表明當(dāng)前Android設(shè)備的最新的補(bǔ)丁時(shí)間，用戶(hù)可在手機(jī)的”設(shè)置-關(guān)于”選項(xiàng)中查看自己手機(jī)的安全補(bǔ)丁級(jí)別。

在統(tǒng)計(jì)的22萬(wàn)樣本設(shè)備中，僅有64214臺(tái)設(shè)備可以獲取到安全補(bǔ)丁級(jí)別，僅占樣本總數(shù)的29.6%。我們進(jìn)而統(tǒng)計(jì)了這64214臺(tái)設(shè)備的patch level分布情況，結(jié)果如圖19所示，占比最多的patch_level是2016-08-01，占比為41%。目前Android系統(tǒng)最新的patch_level是2016-09-01，在所有樣本中僅有297臺(tái)手機(jī)的patch_level是最新的。

 

圖19 樣本patch_level分布

為了驗(yàn)證patch_level與漏洞數(shù)量的關(guān)系。我們統(tǒng)計(jì)了不同patch_level設(shè)備的漏洞數(shù)量，結(jié)果如圖20所示：

圖20 patch_level與漏洞數(shù)量的關(guān)系

從整體漏洞平均數(shù)來(lái)看，并不是patch_level越新，平均漏洞數(shù)就越少。從漏洞眾數(shù)（指大多數(shù)設(shè)備所存在的漏洞數(shù)）的角度看，也不能看出patch_level與漏洞數(shù)量的關(guān)系。從不同patch_level的最少漏洞數(shù)和最多漏洞數(shù)的角度看，patch_level越新，漏洞數(shù)量越少。造成這種現(xiàn)象主要有兩個(gè)方面因素，一是廠(chǎng)商隨意修改patch_level值，或者沒(méi)有完全打上所有的patch；二是因?yàn)槭苈┒从绊懛秶?，并不是越新的漏洞影響范圍?huì)越廣，有些漏洞可能只影響最新的Android系統(tǒng)，對(duì)舊版本系統(tǒng)反而沒(méi)有影響。

為了更準(zhǔn)確的探究patch_level與漏洞數(shù)量的關(guān)系，我們從設(shè)備樣本中選取了樣本中占有率排名前16款的手機(jī)，并統(tǒng)計(jì)了這些機(jī)型在不同patch_level下的漏洞數(shù)量。結(jié)果如圖21所示：

圖21特定設(shè)備漏洞數(shù)量與patch_level的關(guān)系

橫坐標(biāo)是patch_level值，每個(gè)設(shè)備縱坐標(biāo)的高度代表該設(shè)備的在當(dāng)前patch_level時(shí)的漏洞平均數(shù)。從單個(gè)設(shè)備的patch_level與漏洞數(shù)量的關(guān)系看，大部分設(shè)備的漏洞數(shù)量是隨著patch_level的遞增而減少的。也會(huì)存在部分設(shè)備的異常情況，這跟我們選取的漏洞的特征是有關(guān)系的，有些較新的漏洞可能只會(huì)影響最新的系統(tǒng)，對(duì)舊版本系統(tǒng)反而不影響。

第四章 安全建議

經(jīng)過(guò)上述對(duì)Android系統(tǒng)漏洞的研究，我們可以看出仍然存在大量未升級(jí)至新版本系統(tǒng)和未打補(bǔ)丁的設(shè)備正在被使用，這些與安全更新脫節(jié)的現(xiàn)象直接導(dǎo)致用戶(hù)手機(jī)暴露于各種漏洞的威脅之下。而用戶(hù)幾乎每天都要直接或間接使用的瀏覽器組件，仍有90%多的設(shè)備存在一個(gè)或多個(gè)漏洞，這些漏洞直接將用戶(hù)每天的正常使用暴露于攻擊者的攻擊向量?jī)?nèi)，嚴(yán)重威脅用戶(hù)的隱私、財(cái)產(chǎn)安全。

綜上，對(duì)于A(yíng)ndroid手機(jī)用戶(hù)，我們特此提出如下安全建議：

1)及時(shí)檢查并安裝最新的OTA更新，修復(fù)安全漏洞；

2)對(duì)于需要root權(quán)限的用戶(hù)，我們建議賦予相關(guān)安全軟件root權(quán)限，保障手機(jī)安全；

3)不要下載未知來(lái)源的應(yīng)用；

4)不要點(diǎn)擊陌生鏈接；

5)及時(shí)升級(jí)系統(tǒng)瀏覽器或使用最新版360手機(jī)瀏覽器；

6)盡量使用證書(shū)驗(yàn)證的HTTPS通信或者其他加密信道，避免瀏覽器因中間人攻擊暴露于攻擊者的攻擊范圍內(nèi)。

智能手機(jī)操作系統(tǒng)的安全性直接影響了用戶(hù)網(wǎng)絡(luò)生活整體的安全性，為了盡可能保障用戶(hù)手機(jī)的安全，我們建議手機(jī)廠(chǎng)商：

1)延長(zhǎng)手機(jī)產(chǎn)品的系統(tǒng)更新支持時(shí)限，避免出現(xiàn)手機(jī)系統(tǒng)老舊的情況；

2)及時(shí)推送OTA安全補(bǔ)丁，保障手機(jī)安全；

3)及時(shí)更新瀏覽器內(nèi)核，保障瀏覽器的安全性。