2019年上半年度安卓系统安全性生态环境研究:安卓手机99.97%存在安全漏洞

2019-08-27 21:48 华夏晚报网

打印 放大 缩小

来源标题:2019年上半年度安卓系统安全性生态环境研究:安卓手机99.97%存在安全漏洞

眼瞅着开学在即,在经历了陪写作业气到心梗,安抚睡觉连哄带骗,出门行踪步步紧盯等多重煎熬后,即将目送一个个熊孩子再度开学的“老父母”喜出望外,终于可以重获安逸。然而,作为时刻“照料”自己生活、工作的伙伴,手中的安卓手机显然并未因此轻松,依旧继续面临着层出不穷的安全漏洞所带来的艰难考验。

近日,基于“360透视镜”用户主动上传的62万份漏洞检测报告,360安全大脑发布《2019年上半年度安卓系统安全性生态环境研究》报告。报告中详尽公布了最近两年Android和Chrome安全公告中检出率最高的104个漏洞,涵盖了Android系统的各个层面。其中,检测结果显示,截止至2019年8月,所测设备中99.97%的Android手机存在安全漏洞。不难看出,虽然同比2018年,手机安全程度呈小幅上升趋势,但手机存在漏洞的比例整体居高不下,用户手机整体的安全形势依旧严峻。

99.9%安卓手机存在高危预警,手机安全局势不容乐观

在此次评测的104个漏洞中,按照危险等级分类,共选取严重级别漏洞15个,高危级别漏洞68个,中危级别漏洞21个,其中对用户影响较大的高危以上漏洞的选取比例达79.8%。根据系统安全分析结果显示,90.6%的Android设备受到中危级别漏洞的危害,99.9%的Android设备存在高危漏洞,47.4%的Android设备受到严重级别的漏洞影响。由此可见,安卓系统所受漏洞威胁情况显然不容乐观。

在监测漏洞威胁之外,报告根据各漏洞明显特征,将系统漏洞分为远程攻击、权限提升、信息泄漏三大类别。经系统安全分析后得出,99.9%的设备存在远程攻击漏洞,98.7%的设备存在权限提升漏洞,93.2%的设备存在信息泄漏漏洞。与2018年检测结果相比,权限提升漏洞影响设备占比涨幅明显,信息泄漏漏洞影响设备占比有所降低,远程攻击漏洞影响设备占比一直居高不下。

此外,作为用户每日使用手机时接触最多的系统组件,系统浏览器内核成为漏洞扎堆的主要聚集地。根据检测安卓系统浏览器内核漏洞的分布情况得知,99.4%的设备存在至少一个浏览器内核漏洞,半数以上的设备浏览器内核漏洞数达到3个以上,最多可达同时存在7个漏洞。较2018年数据相比,存在浏览器内核漏洞的设备占比与同时存在3个浏览器内核漏洞设备占比均有提高。可以看出,新漏洞的出现为大量设备的安全性带来新挑战,用户依然暴露在浏览器内核漏洞的威胁之中。

高版本系统俘获安卓党芳心,更新滞后成安全漏洞导火索

在系统版本分布方面,与2018年相比,Android 6.0、Android 5.1和Android 7.1依旧呈现三强独霸局面,Android 6.0以37%的市场占有率,继续肩负市场“流行担当”。另外,或受安全防范意识提升的影响,用户整体的版本更新有所推进,低版本系统5.1和4.4数量不断缩减,Android 8.0和8.1数量攀升势头迅猛,最新的Android 9.0版本占比也达到了2%。

从漏洞分布上看,Android版本高低和漏洞数量多少并没有严格的线性关系,由于Google目前只对7.0及以上系统提供安全更新,所以在高版本系统(7.0及以上版本)上,漏洞数量明显减少。

值得一提的是,虽然安卓用户整体的版本更新推进成绩显著,但在与官方更新的同步性上,却呈现出明显的滞后现象。报告中指出,约有45.2%的安卓手机用户会保持手机系统(特指安全补丁等级)版本与厂商所提供的最新版本保持一致,但与安卓官方更新保持同步的手机却仅占2.8%,这主要由于大部分厂商很难保证安全补丁的更新时间能与安卓官方保持同步,导致很多用户实际上并不能及时得到已公开漏洞的安全补丁,这也成为用户手机存在安全漏洞的重要原因之一。

偏远地区成手机漏洞大户,换机偏好或巩固免疫体质

另外,用户手机的平均漏洞数量存在比较明显的地域特征,呈现出“去中心化”趋势。黑龙江、宁夏、西藏、海南等较偏远地区成为用户手机漏洞大户,而安徽、北京、上海等经济发达地区的用户手机平均漏洞数量最少。

除了地域分布的差异外,此次报告还针对不同性别用户手机的安全性加以区分。同比2018年,无论男性还是女性用户,平均漏洞个数均有所降低。其中,女性手机平均漏洞个数降低较为明显,降幅达16%。这主要可能是由于受高品质消费加码,女性用户的手机更换更为频繁,新上市的手机因为系统版本更新,厂商支持力度更大,所以存在漏洞数量也因此减少。

纵观整体报告不难看出,手机漏洞已经成为制约用户体验提升的桎梏,时刻对企业和用户安全造成致命威胁。因此,为了让消费者对自己爱机的安全状况了如指掌,360历时两年打造了中国第一个Android平台的手机漏洞检测工具“360透视镜”。

其应用依据Android官方提供的安全补丁更新通知作为漏洞信息来源,在Android系统中实现了无需申请敏感权限,即可检测Android系统中是否存在漏洞,充分降低了用户了解自己手机安全状况的限制门槛。

同时,相关漏洞测试结果数据将有效推动厂商对于Android系统漏洞的关注与重视,助力提升厂商安全补丁更新与官方更新时间的同步性, 进而为Android智能手机用户的安全保驾护航,推进国内Android智能手机生态环境的发展。

完整报告请参见链接:

http://zt.360.cn/1101061855.php?dtid=1101061451&did=210942656

360透视镜下载链接:https://shouji.360.cn/vulscanner.htm

责任编辑:岳崎(QN0012)