今年以來,360手機(jī)衛(wèi)士阿爾法團(tuán)隊(duì)接連發(fā)現(xiàn)Android Accessibility被濫用、badkernel遠(yuǎn)程任意代碼執(zhí)行漏洞以及UC瀏覽器2個(gè)高危漏洞等,均為影響數(shù)億用戶的重大漏洞。為此,360手機(jī)衛(wèi)士阿爾法團(tuán)隊(duì)基于用戶數(shù)據(jù),統(tǒng)計(jì)了22萬安卓手機(jī)漏洞情況,發(fā)布《中國市場(chǎng)手機(jī)系統(tǒng)安全檢測(cè)報(bào)告》,報(bào)告表明國內(nèi)94.5%的安卓手機(jī)存在安全漏洞,手機(jī)系統(tǒng)版本越高漏洞越少。
震驚!僅5.5%的手機(jī)沒有安全漏洞
《中國市場(chǎng)手機(jī)系統(tǒng)安全檢測(cè)報(bào)告》基于360手機(jī)衛(wèi)士的用戶數(shù)據(jù),統(tǒng)計(jì)了22萬安卓手機(jī)的漏洞情況。報(bào)告從最近一年的Android和Chrome安全公告中選取了25個(gè)漏洞作為測(cè)試的依據(jù)。這25個(gè)漏洞涵蓋了安卓系統(tǒng)的各個(gè)層面,且都是與設(shè)備無關(guān)的通用漏洞。
圖1:樣機(jī)平均漏洞數(shù)圖示
報(bào)告選取的25個(gè)漏洞中,5個(gè)為嚴(yán)重級(jí)別漏洞影響約19.8萬設(shè)備;16個(gè)為高危級(jí)別漏洞占比最高,達(dá)64%,影響超20.5萬設(shè)備;4個(gè)為中危級(jí)別漏洞,影響約19.8萬設(shè)備。值得注意的是,其中有4個(gè)是系統(tǒng)瀏覽器內(nèi)核漏洞,91%的手機(jī)存在瀏覽器內(nèi)核相關(guān)漏洞,74%的設(shè)備同時(shí)存在4個(gè)瀏覽器內(nèi)核漏洞。作為用戶與互聯(lián)網(wǎng)接觸的直接承載者,瀏覽器漏洞如此廣泛的存在會(huì)對(duì)用戶的手機(jī)安全形成巨大的威脅。
圖2:不同等級(jí)漏洞影響設(shè)備數(shù)量統(tǒng)計(jì)
按漏洞類型來看,超20.5萬臺(tái)設(shè)備存在遠(yuǎn)程攻擊類漏洞,占設(shè)備總數(shù)的94.5%,近19.8萬臺(tái)設(shè)備存在權(quán)限提升類漏洞,占設(shè)備總數(shù)的91.2%,同時(shí)有近19.8萬臺(tái)設(shè)備存在信息泄露類漏洞,占設(shè)備總數(shù)的91.2%。
按受影響的機(jī)型來看,國內(nèi)安卓智能手機(jī)的安全狀況極不樂觀,而使用量較多的機(jī)型中,平均每個(gè)機(jī)型的系統(tǒng)中存在的系統(tǒng)漏洞也都處于10個(gè)以上,而相對(duì)較安全一些的手機(jī)則使用量不多,因此也一定程度上造就了國內(nèi)針對(duì)安卓設(shè)備的各類木馬病毒攻擊紛繁不斷的情況。
顛覆常識(shí)! 女性手機(jī)漏洞普遍少于男性
手機(jī)漏洞對(duì)不同人群的影響也有差別。根據(jù)性別特征統(tǒng)計(jì)發(fā)現(xiàn),在女性手機(jī)用戶中,Android 6.0的占比約為10.43%;在男性手機(jī)用戶中,Android 6.0的占比約為6.48%。從圖中也可以明顯的看出,女性用戶的手機(jī)系統(tǒng)版本普遍高于男性用戶,同時(shí)女性用戶的手機(jī)漏洞數(shù)量普遍比男性用戶少。
圖3:漏洞數(shù)量與性別影響研究
而從地域分布來看,360手機(jī)衛(wèi)士阿爾法團(tuán)隊(duì)發(fā)現(xiàn)所統(tǒng)計(jì)的31個(gè)省和直轄市中,用戶來源最多的為廣東省,用戶來源最少的是西藏。根據(jù)每個(gè)省份的平均漏洞數(shù)量統(tǒng)計(jì)表明,平均漏洞數(shù)最少的是北京和上海的用戶,最多的則是寧夏、河北等地用戶。
圖4:漏洞數(shù)量地域分布特征
手機(jī)越新漏洞越少 已Root設(shè)備平均漏洞數(shù)更高
從手機(jī)發(fā)布時(shí)間與漏洞數(shù)量關(guān)系來看,總體上看發(fā)布時(shí)間越新的手機(jī),漏洞數(shù)會(huì)越少。同時(shí),從系統(tǒng)情況來看,受漏洞影響最大的是Android 4.3,受影響最小的是Android 6.0。系統(tǒng)版本越高,漏洞數(shù)量越少。
已Root的手機(jī)由于其權(quán)限的開放性,同時(shí)帶來一定的安全風(fēng)險(xiǎn)。統(tǒng)計(jì)的22萬設(shè)備中,有62225臺(tái)設(shè)備已經(jīng)被Root,104181臺(tái)設(shè)備沒有Root,其余設(shè)備Root狀況未知。數(shù)據(jù)表明,已Root的手機(jī)平均漏洞數(shù)超20個(gè),無Root的設(shè)備平均漏洞數(shù)不足16個(gè)。
圖5:設(shè)備Root與漏洞數(shù)量關(guān)系分析
遇到漏洞如何“補(bǔ)”?360手機(jī)衛(wèi)士安全專家提建議
報(bào)告數(shù)據(jù)研究表明,仍有90%多的設(shè)備存在一個(gè)或多個(gè)漏洞,這些漏洞直接將用戶每天的正常使用暴露于攻擊者的攻擊向量?jī)?nèi),嚴(yán)重威脅用戶的隱私、財(cái)產(chǎn)安全。那么偶遇漏洞如何補(bǔ)?
對(duì)于安卓手機(jī)用戶,360手機(jī)衛(wèi)士安全專家建議,及時(shí)檢查并按照最新的OTA更新,修復(fù)安全漏洞;對(duì)于需要Root權(quán)限的用戶,建議用戶首先賦予相關(guān)安全軟件Root權(quán)限,保障手機(jī)安全;不要下載未知來源應(yīng)用、不點(diǎn)擊陌生鏈接;及時(shí)升級(jí)系統(tǒng)瀏覽器或使用最新版360手機(jī)瀏覽器;盡量使用證書驗(yàn)證的HTTPS通信或其他加密信道,避免瀏覽器因中間人攻擊暴露于攻擊者的攻擊范圍內(nèi)。
同時(shí),360手機(jī)衛(wèi)士也建議手機(jī)廠商、安全廠商,延長(zhǎng)手機(jī)產(chǎn)品的系統(tǒng)更新支持時(shí)限,避免出現(xiàn)手機(jī)系統(tǒng)老舊的情況;及時(shí)推送OTA安全補(bǔ)丁,保障手機(jī)安全;及時(shí)更新瀏覽器內(nèi)核,保障瀏覽器的安全性。
京公網(wǎng)安備 11010502049343號(hào)