终板网络安全人才市场状况研究报告.pdf

资源描述

1、注入可疑 DLL 模块以及异常启动项等多种方式进行攻击。 2) 安全防护建议针对内网终端所面临的安全威胁以及可能造成的安全损失，政府机构、大中型企业应采取以下安全防护措施：第一、定期给终端系统及软件安装最新补丁，防止因为漏洞利用带来的攻击；第二、采用统一的防病毒软件，并定时更新，抵御常见木马病毒；第三、在网络层面采用能够对全流量进行持续存储和分析的设备，对已知安全事件进行定位溯源，对未知的高级攻击进行发现和捕获；第四、完善政府机构和企业内部的 IP 和终端位置信息关联，并记录到日志中，方便根据 IP 直接定位机器位置；第五、加强员工对终端安全操作和管理培训，提

2、高员工安全意识。三、服务器安全（一）运行异常主要主要现象现象：操作系统响应缓慢、非繁忙时段流量异常、存在异常系统进程以及服务、存 12 在异常的外连现象。主要危害主要危害：被攻击的服务器被攻击者远程控制；政府机构和企业的敏感、机密数据可能被窃取。个别情况下，会造成比较严重的系统数据破坏。攻击方法攻击方法：针对政府机构、企业服务器的攻击，很多情况下是由高级攻击者发动的，攻击过程往往更加隐蔽，更加难以被发现，技术也更隐蔽。通常情况下，并没有太多的异常现象。攻击目的攻击目的：长期潜伏，收集信息，以便于进一步渗透；窃取重要数据并外传；使用服务器资源对外发起 DDoS 攻击。（

3、二）木马病毒主要主要现象现象：服务器无法正常运行或异常重启、管理员无法正常登陆进行管理、重要业务中断、服务器响应缓慢等。主要危害主要危害：被攻击的服务器被攻击者远程控制；政府机构和企业的敏感、机密数据可能被窃取。个别情况下，会造成比较严重的系统数据破坏。攻击方法攻击方法：黑客通过利用弱口令探测、系统漏洞、应用漏洞等攻击方式，种植恶意病毒进行攻击。攻击目的攻击目的：利用内网服务器资源进行虚拟币的挖掘，从而赚取相应的虚拟币，以到达获利目的。（三）勒索病毒主要主要现象现象：内网服务器文件被勒索软件加密，无法打开，索要天价赎金。主要危害主要危害：用户无法打开文件，政府机构、企

4、业向攻击者付勒索费用；造成内网服务器无法正常运行；数据可能泄露。攻击方法攻击方法：通过利用弱口令探测、共享文件夹加密、软件和系统漏洞、数据库爆破等攻击方式，使内网服务器感染勒索病毒。攻击目的攻击目的：通过使服务器感染勒索病毒，向政府机构、企业勒索钱财，以到达自身盈利目的。（四） DDoS 攻击主要主要现象现象：向外网发起大量异常网络请求、恶意域名请求等。主要危害主要危害：严重影响内网服务器性能，如服务器 CPU 以及带宽等，导致服务器上的业务无法正常运行；攻击者可能窃取内网数据，造成数据泄露等。攻击方法攻击方法：黑客可能利用弱口令、系统漏洞、应用漏洞等系统缺陷，通过种马的方

5、式，让服务器感染 DDoS 木马，以此发起 DDoS 攻击。攻击目的攻击目的：使用政府机构、企业的内网服务器对外发起 DDoS 攻击，以达到敲诈、勒索以及恶意竞争等目的。（五）服务器安全总结及防护建议 13 1) 安全攻击手段以上四类服务器安全威胁，是政府机构、大中型企业内网服务器所面临的主要威胁，也是服务器安全应急响应服务所要解决的主要问题。通过对现场处置情况的汇总和分析得知，黑客主要采用以下攻击手段对服务器实施攻击：第一、通过弱口令探测、共享文件夹加密、软件和系统漏洞、数据库爆破以及 Webshell 等多种攻击方式，感染内网服务器勒索病毒；第二、黑客利用弱

6、口令、系统漏洞、应用漏洞等系统缺陷，通过种马的方式，让服务器感染各类木马（如挖矿木马、DDoS 木马等），以此实现攻击目的。 2) 安全防护建议针对内网服务器所面临的安全威胁以及可能造成的安全损失，政府机构、大中型企业应采取以下安全防护措施：第一、及时清除发现的 webshell 后门、恶意木马文件、挖矿程序。在不影响系统正常运行的前提下，建议重新安装操作系统，并重新部署应用，以保证恶意程序被彻底清理；第二、对受害内网机器进行全盘查杀，可进行全盘重装系统更好，同时该机器所属使用者的相关账号密码信息应及时更改；第三、系统相关用户杜绝使用弱口令，设置高复杂强度的密码

7、，尽量包含大小写字母、数字、特殊符号等的混合密码，加强运维人员安全意识，禁止密码重用的情况出现；第四、有效加强访问控制 ACL 策略，细化策略粒度，按区域按业务严格限制各个网络区域以及服务器之间的访问，采用白名单机制只允许开放特定的业务必要端口，其他端口一律禁止访问，仅管理员 IP 可对管理端口进行访问，如远程桌面等管理端口；第五、禁止服务器主动发起外部连接请求，对于需要向外部服务器推送共享数据的，应使用白名单的方式，在出口防火墙加入相关策略，对主动连接 IP 范围进行限制；第六、加强入侵防御能力，建议在服务器上安装相应的防病毒软件或部署防病毒网关，即时对病毒

8、库进行更新，并且定期进行全面扫描，加强入侵防御能力；第七、建议增加流量监测设备的日志存储周期，定期对流量日志进行分析，及时发现恶意网络流量，同时可进一步加强追踪溯源能力，对安全事件发生时可提供可靠的追溯依据；第八、定期开展对服务器系统、应用以及网络层面的安全评估、渗透测试以及代码审计工作，主动发现目前系统、应用存在的安全隐患；第九、加强日常安全巡检制度，定期对系统配置、网络设备配合、安全日志以及安全策略落实情况进行检查，常态化信息安全工作。四、邮箱安全 14 （一）邮箱异常主要主要现象现象：邮箱异常、邮件服务器发送垃圾邮件。主要危害主要危害：严重影响邮件服务器性能

9、、邮箱运行异常。攻击方法攻击方法：黑客通过多渠道获取员工邮箱密码，进而登录到邮箱系统进行垃圾邮件发送操作。攻击目的攻击目的：炫技或挑衅中招单位；向政府机构、企业勒索钱财，以到达自身盈利目的。（二）邮箱 DDoS 攻击主要主要现象现象：无法正常发送邮件、服务器宕机。主要危害主要危害：邮件服务器业务中断，用户无法正常发送邮件。攻击方法攻击方法：黑客对邮件服务器进行邮箱爆破、发送大量垃圾数据包、投递大量恶意邮件等。攻击目的攻击目的：通过 DDoS 攻击导致邮件服务器资源耗尽并拒绝服务，以达到敲诈、勒索以及恶意竞争等目的。（三）邮箱安全总结及防护建议 1) 安全攻击手段

10、以上两类邮件服务器安全威胁，是政府机构、大中型企业邮件服务器所面临的主要威胁，也是邮件服务器安全应急响应服务所要解决的主要问题。通过对现场处置情况的汇总和分析得知，黑客主要采用以下攻击手段对邮件服务器实施攻击：第一、通过弱口令探测、社会人工学等多种攻击方式控制邮件服务器，从而发送垃圾邮件；第二、对邮件服务器进行邮箱爆破、发送垃圾数据包、投递恶意邮件等。 2) 安全防护建议针对邮件服务器所面临的安全威胁以及可能造成的安全损失，政府机构、大中型企业应采取以下安全防护措施：第一、邮箱系统使用高复杂强度的密码，尽量包含大小写字母、数字、特殊符号等的混合密码，禁止密码

11、重用的情况出现；第二、邮箱系统建议开启短信验证功能，采用双因子身份验证识别措施，将有效提高邮箱账号的安全性；第三、邮箱系统开启 HTTPS 协议，通过加密传输的方式防止旁路数据窃听攻击；第四、加强日常攻击监测预警、巡检、安全检查等工作，及时阻断攻击行为；第五、部署安全邮件网关进一步加强邮件系统安全。 15 附录 360 安服团队 360 安服团队汇集国内知名安全专家，在网络攻防、数据分析、应急响应及攻击溯源等方面有着丰富的经验。 360 安服团队创新性地提出基于数据驱动的安全服务运营理念，结合云端数据及专家诊断，为客户提供咨询规划、数据分析、预警检测、持续响应、安全运维

12、等一系列的安全保障服务。 360 安服团队参与了多次知名 APT 事件的分析溯源工作，参与的国内重大活动安全保障工作超过 60 次，参与上合峰会、博鳌论坛、全国两会、十九大、金砖国家峰会、达沃斯论坛、一带一路等重大活动安全保障工作，并屡获客户认可及感谢信。 2018 年上半年度安卓系统安全性生态环境研究 2018 年 7 月 25 日摘要此报告数据来源为 “360 透视镜” （360 团队发布的一款专业检测手机安全漏洞的 APP, 90 万份漏洞检测报告，检测内容包括最近三年的 Android 和 Chrome 安全公告中检出率较高的 78 个漏洞，涵盖了 Android

13、系统的各个层面。检测结果显示，截止至 2018 年 7 月，所测设备中 99.97%的 Android 手机存在安全漏洞，有 0.03%的设备完全没有检测出漏洞，安全程度同比下降 6.03%。 Android 版本占比最高的 3 个版本分别为 Android 6.0、 Android 5.1 和 Android 4.4，比例分别为 38%、29%和 14%，Android 7.0 和 7.1 版本所占比例分别为 4%和 10%，而最新版的 Android 8.0 和 8.1 版本均接近 1%。从结果上看，Android 版本高低和漏洞数量多少并没有严格的线性关系，在高版本系统上（

14、7.0 及以上），漏洞数量明显减少，平均漏洞数虽有所提高，但对于历史漏洞的修复情况则较为明显。与上季度相比，用户整体的版本的更新和推进变化不大，Android 6.0 依旧是用户量最多，高版本系统 7.0 和 7.1 继续保持上升趋势，最新的 8.0 和 8.1 也有在缓慢提升；在平均漏洞数方面，由于新漏洞的出现，设备平均漏洞数均有所提升。检测的漏洞总案例在继续增加，且检出漏洞数也有一定的增加，这在一定程度上说明了安卓安全攻与防之间的较量是在动态变化的。用户手机的平均漏洞数量存在比较明显的地域特征，北京、广东、上海等地区的用户手机平均漏洞数量最少，吉林、黑龙江、甘肃等地区的用户手

15、机漏洞数量相对较多。这一数据的顺序较上一季度略有变化，整体平均漏洞数基本持平。不同性别的用户平均系统版本较上一季度均有所提升，不同性别用户的平均手机版本基本持平，女性用户的手机平均漏洞数量比男性用户仍低一些。其中 99.1%的设备存在浏览器内核相关漏洞，浏览器内核漏洞最多的设备同时存在 6 个漏洞（版本号 50.0.2661.86），有超过半数的设备漏洞数超过 3 个，仅有 0.9%的设备不受浏览器内核漏洞影响。与上一季度相比，浏览器安全情况面临的安全问题较为明显，通过我们的分析，这与新公开的浏览器内核漏洞有直接关联，未能及时升级浏览器内核导致新漏洞影响范围十分广泛。

16、安卓手机用户中，约有 42.0%的用户会保持手机系统（特指安全补丁等级）版本与厂商所提供的最新版本保持一致，约有 15.2%的用户的手机系统版本会保持滞后厂商最新版本 1 到 3 个月，接近 9.6%的用户会滞后 4 到 6 个月，其余用户会滞后半年以上。其中保持手机系统更新的用户相较上个季度无明显差异。与安卓官方最新更新情况相比，用户手机系统平均滞后了约 12.8 个月；但与手机厂商已经提供该机型的最新版本相比，则平均只滞后了 5.6 个月。这两项数据上看，安全补丁的更新环比均有所滞后，但整体差距不大。由此可见，用户手机因未能及时更新而存在安全漏洞的重要原因之一，就是手机厂

17、商普遍未能实现其定制开发的安卓系统与 Google 官方同步更新，而且滞后性比较明显。关键词：关键词：安卓安全、安卓漏洞、漏洞检测目录研究背景 . 1 第一章手机系统安全性综述 1 一、系统漏洞的危险等级 1 二、系统漏洞的危害方式 1 三、系统浏览器内核的安全性 . 3 四、系统漏洞的数量分布 5 五、手机安全生态宏观描述 . 6 第二章手机系统版本安全性 8 一、各系统版本漏洞情况 8 二、安卓系统漏洞缓解措施 . 9 第三章手机系统安全性地域分布 . 11 第四章手机系统安全性与用户性别的相关性 13 第五章手机系统安全漏洞的修复 . 15 一、厂商漏洞

18、修复情况 15 二、用户主动升级意愿 16 三、漏洞修复综合分析 17 第六章新品手机安全更新情况 . 19 附录 . 20 1 研究背景在中国，Android 系统作为智能手机中市场占有率最高的移动操作系统，承载着亿万手机用户的生产生活，大量的 Android 开发人员为其添砖加瓦。但树大招风，Android 智能手机也暴露在各种恶意软件、系统漏洞的威胁之中，无数恶意软件、电信诈骗不断挑战用户的安全意识，但各种隐藏在系统之中的系统漏洞对用户的手机安全影响更为可怕。由于 Android 操作系统目前仍未有非常完善的补丁机制为其修补系统漏洞，再加上 Android 系统碎片化严重

19、，各手机厂商若要为采用 Android 系统的各种设备修复安全问题则需投入大量人力物力。随着各种系统漏洞的不断披露，现存的 Android 智能手机就像一艘漏水的船，纵然手机安全软件能够缓解一些安全隐患，但系统中的漏洞仍未能有效修补，攻击大门依旧打开。而 Android 平台之上的安全软件又无法被授予系统的最高权限，因而 Android 系统安全问题一直非常棘手。为了让消费者了解到自己手机的安全性， 360 历时一年打造了中国第一个 Android 平台的手机漏洞检测工具“360 透视镜”（，并向社会公开，任何用户和个人都可下载安装。 “360 透视镜”应用依据 And

20、roid 官方提供的安全补丁更新通知作为漏洞信息来源，在 Android 系统上实现了无需申请敏感权限即可检测 Android 系统中存在的漏洞这一核心功能，降低了用户了解自己手机安全状况的限制门槛。此报告基于“360 透视镜”应用用户主动上传的 90 万份漏洞检测报告，检测内容包括近三年（最新漏洞检测更新至 2018 年 6 月）Android 与 Chrome 安全公告中检出率较高的 78 个漏洞，涵盖了 Android 系统的各个层面，且都与具体设备的硬件无关。我们统计并研究了样本中的漏洞测试结果数据，并对安全状况予以客观具体的量化，希望引起用户和厂商对于手机系统漏洞的关

21、注与重视，为 Android 智能手机用户的安全保驾护航，并希望以此来推进国内 Android 智能手机生态环境的安全、健康发展。 1 第一章手机系统安全性综述一、系统漏洞的危险等级此次报告评测的 78 个系统漏洞，按照 Google 官方对系统漏洞的危险评级标准，按照危险等级递减的排序规则，共分为严重、高危、中危三个级别。即“严重”级别的漏洞对系统的安全性影响最大，其次为“高危”级别漏洞，然后为“中危”级别漏洞， “低危”级别漏洞未入选。在这 78 个漏洞中，按照其危险等级分类，有严重级别漏洞 12 个，高危级别漏洞 46 个，中危级别漏洞 20 个。其中高

22、危以上漏洞对用户影响较大，在此次安全评测中对此类漏洞的选取比例达 74.4%。此次系统安全分析结果显示： 95.9%的 Android 设备受到中危级别漏洞的危害，99.7% 的 Android 设备存在高危漏洞，67.7%的 Android 设备受到严重级别的漏洞影响。二、系统漏洞的危害方式此次报告评测的 78 个系统漏洞，参照 Google 官方对系统漏洞的技术类型分类标准并加以适当合并，按照各漏洞的明显特征分类，共分为远程攻击、权限提升、信息泄漏三个类别。远程攻击漏洞是指攻击者可以通过网络连接对用户的系统进行远程攻击的漏洞，权限提升是指攻击者可以将自身所拥有的

23、权限得以提升的漏洞，信息泄漏则为可以获得系统或用户敏感信息的漏洞。在这 78 个漏洞中，按照其危害方式分类，有远程攻击漏洞 35 个，权限提升漏洞 29 个，信息泄漏漏洞 14 个。此次系统安全分析结果显示：99.9%的设备存在远程攻击漏洞，97.0%的设备存在权限提升漏洞，84.8%的设备存在信息泄露漏洞。与往期相比，检测漏洞数有所增加且影响设备比例也有所提升，说明绝大部分手机的更新情况不容乐观并且仍在不安全的状态中继续使用， 2 这些更新不及时的设备在未来一段时间仍将继续暴露在漏洞的威胁中。为了观察不同类别的漏洞中哪些影响的设备比例最多，我们分别对三种类别的漏洞进

24、行统计排序，挑选出了各类别中影响设备比例占比前三名的漏洞，其中影响最广泛信息泄露漏洞为 CVE-2018-9349，65.8%的设备都存在这个漏洞，而 CVE-2016-1677 的影响范围有所下降，从 72.5%降至 58.2%，退居第二；权限提升漏洞中，CVE-2017-0666 依然影响最广，影响范围从 77.7%降至 56.8%，主要是由于该漏洞仅影响 7.1 及以下的系统，新手机和新系统不受影响；远程攻击漏洞中，CVE-2015-7555 影响设备依然最多，影响 60.0%的设备，下降 17.7%。而2017年度中我们关注的CVE-2015-6764在本季度中影响设备

25、比例已经退出Top3，取代它位置的漏洞是 CVE-2017-0820，影响 47.1%的设备。第二季度中 Android 新修复并公开的 CVE-2017-0666 漏洞在本季度中影响设备数量依然十分庞大，并且在未来一段时间仍会如此。对比本季度的数据中可以发现，历史漏洞的影响比例整体有所下降，但新旧漏洞如同波浪一般，层出不穷并且形式依然严峻。这表明随着 3 新机型和系统更新的加入，安卓设备的安全性整体处于不断推进安全更新的过程之中。远程攻击漏洞是危险等级高、被利用风险最大的漏洞，也是我们最关注的漏洞，为此我们统计了每期报告中远程攻击漏洞排名 Top3 的趋势变化，结果如下图所示。

26、可以看到，远程攻击漏洞整体呈现下降趋势，但是部分漏洞仍然影响较多设备，3 成以上的用户手机仍然处于被远程攻击的风险中，安全形势不容乐观。三、系统浏览器内核的安全性系统浏览器内核是用户每日使用手机时接触最多的系统组件，不仅仅是指用户浏览网页的独立浏览器，实际上，许多安卓应用开发者考虑到开发速度、保障不同设备之间的统一性等因素，会使用系统提供的浏览器内核组件。因而用户在每日的手机使用中，大多会直接或间接地调用了系统浏览器内核。在此次评测中，系统浏览器内核是指 Android 系统的 Webview 组件的核心，在 Android 4.4之前， Android系统的Webview是基

27、于Webkit的，在Android 4.4及以后的系统中， Webview 的核心被换成了 Chromium(Chrome 的开源版本，可近似理解为 Chrome)。在统计的样本中，Webkit 内核版本由于其版本较为一致，故在示意图中仅占一块，其余为 Chrome 内核的不同版本。本季度 Webkit 所占比重几乎为 0%，与 2017 年度相似，说明 4.3 及以下系统手机已经几乎淡出历史舞台。截止至本季度，当前 Google 发布的 Android 平台 Chrome 稳定版的内核的最新版本为 Chrome 67，而在此次检测中有不到 1%的用户将自己手机中的浏览器内核升级至

28、最新。而从图中可以看出， Chrome 内核版本大于等于 55 的设备占 37%，较 2017 年 12 月的 24%提升 13%。对比上一季度的数据，版本大于 50 的设备比例有所增长，从 27%增至 44%。在此次检测中，浏览器更新情况有了很大提升，说明国内厂商有更新浏览器内核的举措。同时，在检测样本中，出现了用户主动更新浏览器内核的情况，有部分用户手动升级了 Chrome 内核至 68Beta 版，说明用户对于安全更新是十分渴求的。总的来说，浏览器内核整体版本有所跟新推进，国内安卓系统生态圈中对浏览器内核的更新进度相对有所增强，但仍存在严重的更新滞后问题，远程攻击漏洞中的

29、CVE-2015-6764 即是浏览器内核漏洞，至今仍然影响 53.2%的用户，足以说明这一点。 4 为了研究不同浏览器内核版本的安全性，我们统计了不同版本的浏览器内核的平均漏洞个数。下图显示了不同 Webview 版本平均漏洞数量，其中内核版本在 Chrome 50 以下的版本中漏洞数量明显高于 Chrome 50 以上版本，Chrome 55 以上版本漏洞数量相对最少。从图中可以看出较新版本浏览器内核漏洞数量相对较少，其中 Chrome 67 版本及以上的设备平均漏洞检出情况则为 0。同时，2017 年度未检测出漏洞的 57 版本在今天也检测出了存在 2 个漏洞，浏览器漏洞

30、也是在不断出现并威胁着浏览器的安全。以上数据充分说明保持最新版本的浏览器内核可以十分有效增强手机浏览器内核的安全性。浏览器内核漏洞多数可通过远程方式利用，因而对于用户的手机安全危害较大。安卓系统浏览器内核漏洞的分布情况如下图所示。其中 99.1%的设备存在至少一个浏览器内核漏洞， 18.9%的设备同时存在 4 个浏览器内核漏洞，漏洞数量最多的设备同时存在 6 个漏洞，但仅有 5 台设备，其版本号为 Chrome 50.0.2661.86。仅有 0.9%的设备不受浏览器漏洞影响。较上一季度，浏览器安全情况随着新漏洞的出现而又一次变得岌岌可危。整体来看浏览器升级情况有所提升

31、，浏览器内核版本的更新缓解了一部分老旧漏洞的影响，但新漏洞的出现瞬间 5 挑战了大量设备的安全性，用户依然暴露在浏览器漏洞的威胁之中。四、系统漏洞的数量分布为了研究用户手机中漏洞数量的分布规律和对用户手机中的安全等级做一个直观的评分，我们统计了所有样本中手机存在漏洞个数的比例分布，结果如下图所示。在此次测试中，我们检测了 78 个已知漏洞，有 99.97%的设备存在至少一个安全漏洞，漏洞最多的设备同时包含有 56 个安全漏洞。这一数据较 2017 年第四季度 93.94%的比例有所提升，存在 10 个、 20 个及以上漏洞的比例有所降低，但依然保持较高的比例。可以发现，

32、如果手机厂商积极做好手机系统的安全补丁更新工作，手机系统旧漏洞的修复情况就会有所好转。虽然国内厂商在不断地对安卓设备进行安全更新，但是安全漏洞也在层出不穷，存在漏洞的设备比重仍然居高不下。 6 为了研究近三年用户手机中漏洞数量的变化，同时反映用户手机安全性的变化情况，我们总结了自 2016 年至今的漏洞数量比例分布及趋势，结果如下图所示。可以发现，手机存在漏洞的比例整体居高不下，同时若加大检测力度，用户手机整体的安全形势将会表现的更加严峻。如果手机厂商积极做好手机系统的安全补丁更新工作，现行手机系统的安全情况就会有明显的提升。虽然国内厂商在不断地对安卓设备进行安全更新，

33、但是安全漏洞也在层出不穷，存在漏洞的设备比重仍然居高不下。五、手机安全生态宏观描述为了研究用户手机中漏洞数量的宏观情况，我们统计了如下宏观描绘图。其中，各个独立的方块都代表一款具体型号的安卓设备；方块面积表示该型号设备使用人数的多少，使用的人数越多则相应面积越大；其颜色由绿色到红色之间的渐变代表了该型号设备的平均安全水平。由图中可以看出，对于市场占有率高的产品其安全更新情况更加乐观一些。对比上一季度，新设备的安全补丁更新情况有了很大的进步，厂商对于手机系统安全补丁的重视程度和投入有了明显的改善，多数国内主流厂商均有更新推送新设备的安全补 7 丁，一线厂商则将系统

34、更新至与安卓官方同步（2018-06），但宏观上看安全情况更加严峻，主要原因是新设备所占比例相对较低，正在使用的设备绝大部分还是难以更新的老旧设备。 8 第二章手机系统版本安全性一、各系统版本漏洞情况由于 Android 系统在升级时不可直接跨版本升级而厂商往往又不愿意为旧机型耗费人力物力适配新系统，因而在一定程度上导致了 Android 系统版本的碎片化。为了研究不同版本的安卓系统的安全性，我们统计了样本手机所使用的安卓版本分布，并进一步对这些不同的版本的漏洞数量进行了统计分析。采用 Android 系统版本的分布情况如下图所示，在此次样本中，Android 系统占比最高

35、的3个版本分别为Android 6.0、 Android 5.1和Android 4.4，比例分别达到38%、 29%和14%，而高版本中 Android 7.0 和 7.1 版本所占比例分别为 4%和 10%， Android 8.0 和 8.1 系统也有超过 1%的占比。与 2017 年第四季度相同，Android 6.0 依旧为最流行的系统版本，但 6.0 及更高的系统版本所占比例有了明显提升，这与历史进程和我们的预期均相符。 Android 5.1 和 Android 4.4 所占比例继续降低，但低于 6.0 版本的设备依然占据了约 60%的比例。Android 8.0

36、和 8.1 的比例有一定幅度的上升，这不光意味着版本号上的更新，更意味着更多的用户能够享受到新版 Android 系统所带来的一系列安全更新，其中包括更先进的隐私敏感权限动态管理功能和更新功能，而这在一定程度上也极大的增强了用户手机隐私的安全性。在 Android 8.0 引入了一项叫做 Project Treble 的功能，可以缓解安卓系统更新滞后的问题，我们也希望看到这一功能得以最大化发挥作用。但由于谷歌官方对此技术的要求为：出厂预置 8.0 及更高系统的新手机必须支持 Project Treble，出厂预置低于 8.0 的系统在升级 8.0 后可选配置 Project T

37、reble，根据我们观察，目前有许多设备虽然升级到了 8.0，但仍不支持 Project Treble，新系统、新设备仍无法获得谷歌官方的安全更新，故短时间内，安卓系统的碎片化和老旧设备的比例依然会保持较高比例，安全状况依然形势严峻。通过对每个 Android 版本平均漏洞数量进行统计，得到如下图所示结果。从图中可看出 9 Android 5.1 及其以下版本平均漏洞数量较多，且整体较上一季度的平均漏洞数保持增加趋势，这很大程度上是由于部分老旧设备无法获得更新而我们检测的漏洞又在持续增加，因此造成了这种现象；而 Android 7.0 以上系统则更为安全，平均漏洞数量急剧降低。其

38、中比较新的 Android 8.0 和 8.1 的系统中，平均漏洞数较上一季度有所提升，这主要是由于一些新出现的漏洞依然影响 8.0 和 8.1 系统，而安全补丁推送又有一定的延迟造成的。从图中可以看出，安卓系统版本与漏洞数量并不是简单的线性关系。Android 5.0 以下版本漏洞数量随版本升高而递增，并不是说明 Android 版本越高越不安全，而是因为此次检测主要关注的是最近三年的漏洞，而 Android 4.4 发布距今已经过去了 3 年的时间，因而相对版本越老的 Android 系统因为不支持较新的功能而可能不存在相应的漏洞。 Android 5.0 以上版本，随着系统

39、版本升高，漏洞数量急剧减少。环比上季度的数据，全系列系统的平均漏洞数均有所增加，这是由于本季度又新修复和公开了一些漏洞，而这些漏洞中有些漏洞影响范围十分广泛。实际上系统的安全性受到厂商重视度、系统功能的多少与变动，甚至服役时间、普及程度、恶意攻击者的攻击价值等等因素的共同影响，但修补了历史已知漏洞的最新系统往往会相对安全些。二、安卓系统漏洞缓解措施随着 Android 版本号的提升，其安全手段与漏洞缓解措施也在逐次加固。通常来说，版本越新的安卓系统，其安全防护手段越强，系统漏洞利用的难度也越大。例如，从 Android 4.3 开始，安卓开始引入 SE Linux 沙盒

40、机制，并在后续的版本中不断对其进行加固，从 Android 5.0 开始，引入全盘加密，以保证用户的信息安全。Android 7.0 中提供了基于文件的加密，进一步保证了用户的信息安全；并实现了深层次的地址随机化机制，使得本地权限提升的攻击难度显著提高。该版本 Android 系统中谷歌工程师对 Media Server 进行了重构，将其按照最小权限原则将之分隔成多个独立的进程与组件，从而即使其中某一个进程或组件存在漏洞，攻击者也无法在别的进程空间内执行代码；并且在整个 Media Server 的编译过程中新增了整型溢出防护机制，从而从编译阶段杜绝类似于 Stagefright

41、漏洞利用情况的出现。在最新的 Android 8.1 中，系统的安全性又进一步增强，如 10 引进 Project Treble，进一步提升了对设备特定组件的攻击保护；Webview 方面也有提升， Android 8.0 中 Webview 运行在独立的沙箱进程中，对系统其余部分的访问非常有限。不论从漏洞数目，还是漏洞防护机制上，最新版本的安卓系统均比低版本安卓系统安全性更好。而国内由于安卓碎片化的情况，仍存在大量低版本的带有漏洞的安卓设备。 11 第三章手机系统安全性地域分布正如电信诈骗、伪基站等有明显的地域分布特征，为了更加细致地探究系统漏洞与不同省市之间的关系，我们根据样

42、本数据中地域信息进行了统计和分析。下图为各省份平均每台手机漏洞数量，数值越大，说明该地域安卓手机的安全性相对越低、越不安全；数字越小，则代表该地域安卓手机的安全性越高。手机安全性最低的前三名为吉林、黑龙江、甘肃，平均每台手机拥有漏洞数分别为 21.4、21.3、21.1 个。而安全性最高的前三名为北京、广东、上海，平均每台手机拥有漏洞数 18.2、18.6、18.9。大致上，经济越发达的地区，用户所使用的手机的平均漏洞数量越少，手机安全性相对越高。 12 用热力图表示如上图所示，可以更好的看出平均漏洞数的地域分布特征。颜色越红的地区，手机的安全性越低，颜色越浅的地区，手机安全性越高

43、。 13 第四章手机系统安全性与用户性别的相关性由于性别上天生的性格、喜好等的差异，不同性别的用户在选择手机时可能会有不同的侧重点，比如女性用户可能在外观、轻薄、颜色等方面着重考虑，而男性可能更侧重性能、屏幕尺寸等因素。一部手机在其服役周期内也可能会因时间的推移而被不同的使用者所使用，而厂商在手机的升级维护中，不同手机又会有不同的策略。为了探究手机系统的安全性与用户性别之间有无联系，我们调研了 1000 位用户的性别信息，统计了不同性别用户与其手机的安全性之间可能的关系。从上图中，我们可以清晰的看出：在此次评测中，男性与女性使用的平均版本差异不大，与 2017

44、年第四季度相比，整体比例无过大变化，只是 8.0 及以上的新版本系统所占比例有所提升。在不同性别的用户手机的所存在的漏洞情况如上图所示。我们可以看到女性手机的平均系统版本数值约为 22.3 (数值为系统 API 版本，为 Google 官方为便于安卓版本的计数而 14 提供的一个版本的数字代号，其中 5.0 为 21，5.1 为 22，6.0 为 23)，即平均使用的版本号接近 Android 5.1 和 6.0 之间，而男性使用的平均版本号也为 22.3，平均使用的 Android 版本号也类似。对比上季度的统计数据，男性和女性的平均系统版本均有所提升，但平均来看，女性提升

45、幅度较小，仅为 0.1%，而男性用户则平均提升了 0.6%。在此次统计中，我们发现，女性手机平均版本比男性要略高一点，且均大于等于 5.1，而平均漏洞数女性手机所存在的漏洞数量则低于男性。这是由于 5.1 系统的漏洞数量较多，版本号的微弱变化反映在 5.1 系统安全漏洞上会被放大，此处仅 0.1%的版本号差异对应到漏洞上则为 0.5 个已知安全漏洞。同时这也上面我们分析的漏洞数量与系统新旧不是简单的线性关系有关，并且和我们上述对于不同版本的安卓系统的漏洞数中的高于 5.1 版本的系统的平均漏洞个数开始递减的结论保持一致。 15 第五章手机系统安全漏洞的修复受到 Androi

46、d 系统的诸多特性的影响，系统版本的碎片化问题日益突出。就每一款手机而言，厂商在其维护周期内，通常会隔一段时间向用户推送一次升级版本，而用户在大多数情况下可以自主选择升级或不升级。综合这些特性，在 Android 系统的安全漏洞方面，也产生了严重的碎片化问题。在 Android 系统中，存在一个名为“Android 安全补丁级别”的字段，它是谷歌公司向第三方安卓手机厂商推送的一个 Android 安全补丁的日期号，旨在为安卓设备的已知漏洞的修复情况做一个简单的说明。当前谷歌对于 Android 4.4 及其上版本号的安卓系统会定期推送更新，如果厂商遵循谷歌公司的建议正确打入补

47、丁，那么手机中显示的安全补丁级别日期越新，手机的安全情况就相对越安全。为了探究手机系统中已知安全漏洞的修复情况，我们对样本中不同设备型号、不同系统安全漏洞的修复情况做了相关研究。一、厂商漏洞修复情况为了探究国内厂商为现存设备修复安全漏洞的情况，我们统计了样本中不同厂商手机目前的安全补丁级别情况。下图为各厂商手机中实际存在的安全补丁级别情况，该情况是将各厂商现存手机中实际补丁日期与谷歌官方最新版本（2018 年 6 月）版本对比，综合安全补丁级别最高、最新的手机品牌前 5 名。图中绿色方块面积越大，说明该厂商的手机补丁级别相对越高，漏洞修复相对越及时；相反，如果黄色和橙色面积越大，则说明补丁级别越低，漏洞修复越滞后。图中我们可以看出，在及时推送安全补丁级别方面，TOP5 的厂商在本季度的检测结果显示较好，而且在本季度的调研中这五个厂商均有保持与谷歌最新安全补丁同步的更新提供，这也显示了厂商对于用户手机中安全补丁等级的逐步重视。 16 二、用户主动升级意愿为了探究用户主动升级系统的意愿，我们统计了不同厂商、不同机型、不同安全补丁级别的分布情况。此统计为在每个机型中，观察用户是否主动保持这个厂商对此机型提供最新版本。整体上，可以明显发现近半的用户还是很有安全意识的，从统计数据中可以看出，约有

展开阅读全文

终板 网络安全人才市场状况研究报告.pdf

终板网络安全人才市场状况研究报告.pdf