數據來源為“360鏡”（360團隊發(fā)布的一款專業(yè)檢測安全的APP, /vulscanner.htm）用戶主動上傳的62萬份檢測報告，檢測內容包括最近兩年的Android和Chrome安全公告中檢出率最高的104個，涵蓋了Android檢測結果顯示，截止至2019年8月，所測設備中99.97%的Android存在安全，僅有0.03%的設備完全沒有檢測出，同比2018年，安全程度呈上升趨勢。Android3個版本分別為Android6.0、Android5.1Android7.1，比系統(tǒng)5.1和4.4數量不斷減少，Android8.0和8.1數量持續(xù)在上升，的Android9.0版本占比也達到了2%。從分布上看，Android版本高低和數量多少并沒有嚴格的線性關系，由于7.0及以上系統(tǒng)提供安全更新，所以在高版本系統(tǒng)（7.0及以上版本）上，數量明顯減少。不同的用戶平均系統(tǒng)版本較2018年均有所提升，同時不同的用戶平均漏，有半數以上的設備瀏覽器內核數達到3個以上，僅有0.6%的設備不受瀏覽35.9%46個月，其余用戶會滯后半年以上。與安卓更新情況相比，與安卓更新保持同步的僅占2.8%，滯后一年以上的占63.5%。由此可見，用戶因未更新而存在安全的重要原因之一，就是廠商定制開發(fā)的安卓系統(tǒng)普遍未能與同步更新，而且滯 研究背 第一 系統(tǒng)安全性綜 一、系統(tǒng)的等 二、系統(tǒng)的危害方 三、系統(tǒng)瀏覽器內核的安全 四、系統(tǒng)的數量分 五、安全生態(tài)宏觀描 第二 系統(tǒng)版本安全 一、各系統(tǒng)版本情 二、安卓系統(tǒng)緩解措 第三 系統(tǒng)安全性地域分 第四 系統(tǒng)安全性與用戶的相關 第五 系統(tǒng)安全的修 一、廠商修復情 二、用戶主動升級意 三、修復綜合分 第六 新品安全更新情 附 研究背機用戶的生產生活，大量的Android開發(fā)人員為其添磚加瓦。但樹大招風，Android智能手由于Android操作系統(tǒng)目前仍未有非常完善的補丁機制為其修補系統(tǒng)，再加上Android系統(tǒng)碎片化嚴重，各廠商若要為基于Android系統(tǒng)的各種設備修復安全問題則Android中的第安全軟件又無法被授予系統(tǒng)的最高權限，因而Android系統(tǒng)安全問的檢測工具“360鏡”（http vusanne.h任何用戶和個人都可安裝。“360鏡”應用依據Android提供的安全補丁更新通知作為信息來源，在Android系統(tǒng)中實現了無需申請敏感權限即可檢測Android系統(tǒng)基于“360鏡”應用用戶主動上傳的62萬份檢測報告，檢測內容包括近兩年（檢測更新至2019年6月）Android與Chrome安全公告中檢出率最高104個，涵蓋了Android系統(tǒng)的各個層面，且都與具體設備的硬件無關。我們統(tǒng)計并研推進國內Android智能生態(tài)環(huán)境的安全、健康地發(fā)展。第一 系統(tǒng)安全性綜一、系統(tǒng)的等此次報告評測的104個系統(tǒng)，按照 在這104個中，按照其等級分類，有嚴重級別15個，高危級別68個，中危級別21個。其中高危以上對用戶影響較大，在此次安全評測中對此類漏洞的選取比例達79.8%。此次系統(tǒng)安全分析結果顯示：90.6%的Android設備受到中危級別的危害，99.9%的Android設備存在高危，47.4%的Android設備受到嚴重級別的影響。二、系統(tǒng)的危害方在本次評測中，參照了對系統(tǒng)的技術類型分類標準并加以適當合并，將104個系統(tǒng)按照各的特征分類，共分為、權限提升、信息泄漏三提升，93.2%的設備存在信息泄漏。與2018年檢測結果相比，權限提升占比增加，導致權限提升影響的設備比例增加比較明顯；信息泄漏影響設備占比有所降泄漏CVE-2018-9548，85.3%的設備都存在這個，2018年影響最廣的信息泄漏CVE-2018-9421的影響范圍由73.9%跌落到57.2%；權限提升中，CVE-2018-9467的影最廣的，影響58.7%的設備。三種類型中，影響設備數量第一的只有信息泄漏CVE-2018-9548是新加入的，這說明歷史的影響范圍依然十分龐大。比如CVE-2015-7555和CVE-2016-0826，這兩個分別是在2017年5月和2015年12月安全公告中公開影響比例整體有所下降，但新舊如同波浪一般，層出不窮并且形勢依然嚴峻。們從2016年第四季度開始，了四個比較重要的的影響變化趨勢，如下圖2019年二季度，這四個依然影響近30%的用戶安全。但是隨著新的三、系統(tǒng)瀏覽器內系統(tǒng)瀏覽器內核是用戶每日使用時接觸最多的系統(tǒng)組件，不僅僅是指用戶瀏覽網的被換成了Chromium(Chrome的開源版本，可近似理解為Chrome)在統(tǒng)計的樣本中，Webkit所占幾乎為0，與2017年度相似，說明4.3及以下55的設34%201825%9%。總體來說，瀏覽器內核整體版本有所更新，檢測出的Chrome71及以上版本在今天也檢測出了存在0.7個，瀏覽器也是在不斷出現并著用戶的安全。從Chrome57開始，平均個數逐漸增多，到99.4%的設備存在至少一個瀏覽器內核，15.7%的設備同時存在4個瀏覽器內核，核影響。與2018年數據相比，存在瀏覽器內核的設備占比升高0.3%，同時存在四、系統(tǒng)的數量分這一數據較2018年99.99%的比例有所降低，最多的設備同時包含有63個安全。存在5個、10個、20個及以上的比例均有所降低，但依然保持較高的比例。為了研究近兩年用戶中數量的變化，同時反映用戶安全性的變化情況，我五、安全生態(tài)宏觀描一線廠商則將系統(tǒng)更新至與安卓同步（2019-06），但宏觀上看安全情況更加嚴峻，主要第二 系統(tǒng)版本安全一、各系統(tǒng)版本情Android系統(tǒng)在升級時不可直接跨版本升級而廠商往往又不愿意為舊機型耗費人力物力適配新系統(tǒng)，因而在一定程度上導致了Android系統(tǒng)版本的碎片化。Android系統(tǒng)版本的分布情況如下圖所示，在此次樣本中，Android系統(tǒng)占比最高的3個版本分別為Android6.0Android5.1和Android7.1，比例分別達到37%、23%和19%，Android4.46%。Android8.0和Android8.12%5%。同時版的Android9.0版本比例也占到了2%。Android6.0、Android5.1所占比例都有所下降，Android7.1所占比例有明顯提升，這與歷史進程以及我們的預期均相符。Android5.1和Android4.4所占比味著的用戶能夠享受到新版Android系統(tǒng)所帶來的一系列安全更新，其中包括更先進全性。在Android8.0ProjectTreble的功能，可以緩解安卓系統(tǒng)更新滯后的問題，我們也希望看到這能得以最大化發(fā)揮作用。但由于對此技術的要求為：出廠預置8.0及更高系統(tǒng)的新必須支持ProjectTreble，出廠預置低于8.0的系統(tǒng)在8.0ProjectTreble8.0，但安卓系統(tǒng)的碎片化和老舊設備的比例依然會保持較高比例，安全狀況依然。Android5.1及其以下版本平均數量較多，且整體較上一季度的平均數保持增加趨造成了這種現象；而Android7.1及以上系統(tǒng)則更為安全，平均數量急劇降低。從圖中可以看出，安卓系統(tǒng)版本與數量并不是簡單的線性關系。Android5.0以下更新，導致相對于去年的檢測數據，Android6.0及以下系統(tǒng)的平均數一直居高不下。二、安卓系統(tǒng)緩解措隨著Android版本號的提升，其安全與緩解措施也在逐漸增加。通常來說，版例如，從Android4.3開始，安卓開始引入SELinux沙盒機制，并在后續(xù)的版本中不斷對其進行加固，從Android5.0開始，引入全盤加密，以保證用戶的。Android7.0Server進行了重構，將其按照最小權限原則將之分隔成多個獨立的進程與組件，從而即使其運行在獨立的沙箱進程中，對系統(tǒng)其余部分的非常有限。的Android9.0也加入了 第三 系統(tǒng)安全性地域分下圖為份平均每臺數量，數值越大，說明該地域安卓的安全性相對越三名為、、，平均每臺擁有數分別為17.5、17.8、17.8個。大致上， 第四 系統(tǒng)安全性與用戶的相關20187.1及以上的新版本系統(tǒng)所占不同用戶系統(tǒng)中存在的情況如上圖所示。我們可以看到與女性的平均系統(tǒng)版本數值均約為23.2(數值為系統(tǒng)API版本，為為便于安卓版本的均使用的系統(tǒng)版本在Android6.0和7.0之間。機系統(tǒng)版本提升幅度為0.7，而用戶系統(tǒng)版本提升幅度較小，僅提升了0.5。在此次統(tǒng)計中，無論還是女性用戶，平均個數均有所降低。其中，女性持力度更大，所以存在數量也就越低。第五 系統(tǒng)安全的修受到Android系統(tǒng)的諸多特性的影響，系統(tǒng)版本的碎片化問題日益突出。就每一款情況下可以自主選擇升級或不升級。綜合這些特性，在Android系統(tǒng)的安全方面，也產Android系統(tǒng)中，存在一個名為“Android安全補丁級別”的字段，它是公司向第安卓廠商推送的一個Android安全補丁的日期號，旨在為安卓設備的已知的修復情況做一個簡單的說明。當前對于Android7.0及其上版本號的安卓系統(tǒng)會定期推送更新，如果廠商遵循公司的建議正確打入補丁，那么中顯示的安全補丁級別越高，即日期越新，的安全情況就相對越安全。一、廠商修復情下圖為各廠商中實際存在的安全補丁級別情況，該情況是將各廠商現存中實 版本（2019年6月）版本對比，綜合安全補丁級別最高、最沒有與補丁更新保持同步的設備，可以看出其對安全的重視程度比較差。二、用戶主動升級意2%的用戶能夠保持系統(tǒng)中安全補丁等級的版本與廠商所能提供的版本保持一較218年降了1.5%有17商1-3個月大約59%的用戶版本滯后4-6約145%的用戶版本滯后半年以上，有戶本達以體更后均在變而用比系新戶在高之。 三、修復綜合分可以看到，近一半的用戶能夠保持系統(tǒng)與廠商系統(tǒng)的同步更新，且近6統(tǒng)保持同步更新服務的用戶則僅為2.8%，但這一數據較2018年上升1.8%；滯后時間小于3個月的用戶占比7.9%，上升0.4%；同時注意到滯后1年以上的系統(tǒng)比例明顯有所提升，這也是由于老舊機型逐步淘汰的結果?？梢钥闯?，公司推出安全更新的速度正在加現：與安卓更新時間相比，用戶的系統(tǒng)平均滯后了約18.2個月，但與廠商已經提供該機型的版本相比，則平均只滯后了6.0個月，這兩個數據較2018年第未能實現其定制開發(fā)的安卓系統(tǒng)與安卓同步更新，而且延時較大。第六 新品安全更新情由于安卓在早期安卓版本中對于安全補丁沒有統(tǒng)一的補丁策略，導致大部分早期更新情況，我們特意選取了自2017年以來的數據并分析安卓7.0及以上的安全補丁更數據信息，經匯總分析后，結果如下圖所示。從圖中我們可以看出，主流機型在2017第二季度至2019第二季度的過程中，圖中呈附編公布級類簡洞GIFLIBAndroid9Patch安卓系統(tǒng)RegionChromev8BadKernelPwnFest2016Chromev8AndroidMediaserverAndroidFrameworkAPIs權限pwn2own2017執(zhí)AndroidFramework權限和制AndroidFrameworkAndroidSystem(art)權限和制安卓服務框架(libminikin)升BMP解析Android權限和控Android權限和控Android權限和控An