今年以來,360手機(jī)衛(wèi)士阿爾法團(tuán)隊(duì)接連發(fā)現(xiàn)Android Accessibility被濫用、badkernel遠(yuǎn)程任意代碼執(zhí)行漏洞以及UC瀏覽器2個高危漏洞等,均為影響數(shù)億用戶的重大漏洞。為此,360手機(jī)衛(wèi)士阿爾法團(tuán)隊(duì)基于用戶數(shù)據(jù),統(tǒng)計了22萬安卓手機(jī)漏洞情況,發(fā)布《中國市場手機(jī)系統(tǒng)安全檢測報告》,報告表明國內(nèi)94.5%的安卓手機(jī)存在安全漏洞,手機(jī)系統(tǒng)版本越高漏洞越少。
震驚!僅5.5%的手機(jī)沒有安全漏洞
《中國市場手機(jī)系統(tǒng)安全檢測報告》基于360手機(jī)衛(wèi)士的用戶數(shù)據(jù),統(tǒng)計了22萬安卓手機(jī)的漏洞情況。報告從最近一年的Android和Chrome安全公告中選取了25個漏洞作為測試的依據(jù)。這25個漏洞涵蓋了安卓系統(tǒng)的各個層面,且都是與設(shè)備無關(guān)的通用漏洞。
圖1:樣機(jī)平均漏洞數(shù)圖示
報告選取的25個漏洞中,5個為嚴(yán)重級別漏洞影響約19.8萬設(shè)備;16個為高危級別漏洞占比最高,達(dá)64%,影響超20.5萬設(shè)備;4個為中危級別漏洞,影響約19.8萬設(shè)備。值得注意的是,其中有4個是系統(tǒng)瀏覽器內(nèi)核漏洞,91%的手機(jī)存在瀏覽器內(nèi)核相關(guān)漏洞,74%的設(shè)備同時存在4個瀏覽器內(nèi)核漏洞。作為用戶與互聯(lián)網(wǎng)接觸的直接承載者,瀏覽器漏洞如此廣泛的存在會對用戶的手機(jī)安全形成巨大的威脅。
圖2:不同等級漏洞影響設(shè)備數(shù)量統(tǒng)計
按漏洞類型來看,超20.5萬臺設(shè)備存在遠(yuǎn)程攻擊類漏洞,占設(shè)備總數(shù)的94.5%,近19.8萬臺設(shè)備存在權(quán)限提升類漏洞,占設(shè)備總數(shù)的91.2%,同時有近19.8萬臺設(shè)備存在信息泄露類漏洞,占設(shè)備總數(shù)的91.2%。
按受影響的機(jī)型來看,國內(nèi)安卓智能手機(jī)的安全狀況極不樂觀,而使用量較多的機(jī)型中,平均每個機(jī)型的系統(tǒng)中存在的系統(tǒng)漏洞也都處于10個以上,而相對較安全一些的手機(jī)則使用量不多,因此也一定程度上造就了國內(nèi)針對安卓設(shè)備的各類木馬病毒攻擊紛繁不斷的情況。
顛覆常識! 女性手機(jī)漏洞普遍少于男性
手機(jī)漏洞對不同人群的影響也有差別。根據(jù)性別特征統(tǒng)計發(fā)現(xiàn),在女性手機(jī)用戶中,Android 6.0的占比約為10.43%;在男性手機(jī)用戶中,Android 6.0的占比約為6.48%。從圖中也可以明顯的看出,女性用戶的手機(jī)系統(tǒng)版本普遍高于男性用戶,同時女性用戶的手機(jī)漏洞數(shù)量普遍比男性用戶少。
圖3:漏洞數(shù)量與性別影響研究
而從地域分布來看,360手機(jī)衛(wèi)士阿爾法團(tuán)隊(duì)發(fā)現(xiàn)所統(tǒng)計的31個省和直轄市中,用戶來源最多的為廣東省,用戶來源最少的是西藏。根據(jù)每個省份的平均漏洞數(shù)量統(tǒng)計表明,平均漏洞數(shù)最少的是北京和上海的用戶,最多的則是寧夏、河北等地用戶。
圖4:漏洞數(shù)量地域分布特征
手機(jī)越新漏洞越少 已Root設(shè)備平均漏洞數(shù)更高
從手機(jī)發(fā)布時間與漏洞數(shù)量關(guān)系來看,總體上看發(fā)布時間越新的手機(jī),漏洞數(shù)會越少。同時,從系統(tǒng)情況來看,受漏洞影響最大的是Android 4.3,受影響最小的是Android 6.0。系統(tǒng)版本越高,漏洞數(shù)量越少。
已Root的手機(jī)由于其權(quán)限的開放性,同時帶來一定的安全風(fēng)險。統(tǒng)計的22萬設(shè)備中,有62225臺設(shè)備已經(jīng)被Root,104181臺設(shè)備沒有Root,其余設(shè)備Root狀況未知。數(shù)據(jù)表明,已Root的手機(jī)平均漏洞數(shù)超20個,無Root的設(shè)備平均漏洞數(shù)不足16個。
圖5:設(shè)備Root與漏洞數(shù)量關(guān)系分析
遇到漏洞如何“補(bǔ)”?360手機(jī)衛(wèi)士安全專家提建議
報告數(shù)據(jù)研究表明,仍有90%多的設(shè)備存在一個或多個漏洞,這些漏洞直接將用戶每天的正常使用暴露于攻擊者的攻擊向量內(nèi),嚴(yán)重威脅用戶的隱私、財產(chǎn)安全。那么偶遇漏洞如何補(bǔ)?
對于安卓手機(jī)用戶,360手機(jī)衛(wèi)士安全專家建議,及時檢查并按照最新的OTA更新,修復(fù)安全漏洞;對于需要Root權(quán)限的用戶,建議用戶首先賦予相關(guān)安全軟件Root權(quán)限,保障手機(jī)安全;不要下載未知來源應(yīng)用、不點(diǎn)擊陌生鏈接;及時升級系統(tǒng)瀏覽器或使用最新版360手機(jī)瀏覽器;盡量使用證書驗(yàn)證的HTTPS通信或其他加密信道,避免瀏覽器因中間人攻擊暴露于攻擊者的攻擊范圍內(nèi)。
同時,360手機(jī)衛(wèi)士也建議手機(jī)廠商、安全廠商,延長手機(jī)產(chǎn)品的系統(tǒng)更新支持時限,避免出現(xiàn)手機(jī)系統(tǒng)老舊的情況;及時推送OTA安全補(bǔ)丁,保障手機(jī)安全;及時更新瀏覽器內(nèi)核,保障瀏覽器的安全性。
京公網(wǎng)安備 11010502049343號