今年以来,国内某安全团队接连发现Android Accessibility被滥用、badkernel远程任意代码执行漏洞以及UC浏览器2个高危漏洞等,均为影响数亿用户的重大漏洞。为此,该团队基于用户数据,统计了22万安卓手机漏洞情况,发布《中国市场手机系统安全检测报告》,报告表明国内94.5%的安卓手机存在安全漏洞,手机系统版本越高漏洞越少。
震惊!仅5.5%的手机没有安全漏洞
《中国市场手机系统安全检测报告》基于某安全产品的用户数据,统计了22万安卓手机的漏洞情况。报告从最近一年的Android和Chrome安全公告中选取了25个漏洞作为测试的依据。这25个漏洞涵盖了安卓系统的各个层面,且都是与设备无关的通用漏洞。
▲图1:样机平均漏洞数图示
报告选取的25个漏洞中,5个为严重级别漏洞影响约19.8万设备;16个为高危级别漏洞占比最高,达64%,影响超20.5万设备;4个为中危级别漏洞,影响约19.8万设备。值得注意的是,其中有4个是系统浏览器内核漏洞,91%的手机存在浏览器内核相关漏洞,74%的设备同时存在4个浏览器内核漏洞。作为用户与互联网接触的直接承载者,浏览器漏洞如此广泛的存在会对用户的手机安全形成巨大的威胁。
▲图2:不同等级漏洞影响设备数量统计
按漏洞类型来看,超20.5万台设备存在远程攻击类漏洞,占设备总数的94.5%,近19.8万台设备存在权限提升类漏洞,占设备总数的91.2%,同时有近19.8万台设备存在信息泄露类漏洞,占设备总数的91.2%。
按受影响的机型来看,国内安卓智能手机的安全状况极不乐观,而使用量较多的机型中,平均每个机型的系统中存在的系统漏洞也都处于10个以上,而相对较安全一些的手机则使用量不多,因此也一定程度上造就了国内针对安卓设备的各类木马病毒攻击纷繁不断的情况。
颠覆常识!女性手机漏洞普遍少于男性
手机漏洞对不同人群的影响也有差别。根据性别特征统计发现,在女性手机用户中,Android 6.0的占比约为10.43%;在男性手机用户中,Android 6.0的占比约为6.48%。从图中也可以明显的看出,女性用户的手机系统版本普遍高于男性用户,同时女性用户的手机漏洞数量普遍比男性用户少。
▲图3:漏洞数量与性别影响研究
而从地域分布来看,该团队发现所统计的31个省和直辖市中,用户来源最多的为广东省,用户来源最少的是西藏。根据每个省份的平均漏洞数量统计表明,平均漏洞数最少的是北京和上海的用户,最多的则是宁夏、河北等地用户。
▲图4:漏洞数量地域分布特征
手机越新漏洞越少已Root设备平均漏洞数更高
从手机发布时间与漏洞数量关系来看,总体上看发布时间越新的手机,漏洞数会越少。同时,从系统情况来看,受漏洞影响最大的是Android 4.3,受影响最小的是Android 6.0。系统版本越高,漏洞数量越少。
已Root的手机由于其权限的开放性,同时带来一定的安全风险。统计的22万设备中,有62225台设备已经被Root,104181台设备没有Root,其余设备Root状况未知。数据表明,已Root的手机平均漏洞数超20个,无Root的设备平均漏洞数不足16个。
▲图5:设备Root与漏洞数量关系分析
遇到漏洞如何“补”?安全专家提建议
报告数据研究表明,仍有90%多的设备存在一个或多个漏洞,这些漏洞直接将用户每天的正常使用暴露于攻击者的攻击向量内,严重威胁用户的隐私、财产安全。那么偶遇漏洞如何补?
对于安卓手机用户,专家建议,及时检查并按照最新的OTA更新,修复安全漏洞;对于需要Root权限的用户,建议用户首先赋予相关安全软件Root权限,保障手机安全;不要下载未知来源应用、不点击陌生链接;及时升级系统浏览器;尽量使用证书验证的HTTPS通信或其他加密信道,避免浏览器因中间人攻击暴露于攻击者的攻击范围内。
同时,专家也建议手机厂商、安全厂商,延长手机产品的系统更新支持时限,避免出现手机系统老旧的情况;及时推送OTA安全补丁,保障手机安全;及时更新浏览器内核,保障浏览器的安全性。
广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。