2017年中国手机安全状况报告

摘要

Android系统漏洞分析：

此次报告评测的64个系统漏洞，按照Google官方对系统漏洞的危险评级标准，按照危险等级递减的排序规则，共分为严重、高危、中危三个级别。分别有严重级别漏洞11个，高危级别漏洞36个，中危级别漏洞17个。此次系统安全分析结果显示：5%的Android设备受到中危级别漏洞的危害，93.9%的Android设备存在高危漏洞，88.1%的Android设备受到严重级别的漏洞影响。

在这64个漏洞中，按照其危害方式分类，有远程攻击漏洞30个，权限提升漏洞24个，信息泄漏漏洞10个。此次系统安全分析结果显示：3%的设备存在远程攻击漏洞，91.5%的设备存在权限提升漏洞，85.6%的设备存在信息泄露漏洞。

有94%的设备存在至少一个安全漏洞，漏洞最多的设备同时包含有49个安全漏洞。

通过对每个Android版本平均漏洞数量进行统计， Android 5.1及其以下版本平均漏洞数量较多，这很大程度上是由于部分老旧设备无法获得更新而我们检测的漏洞又在持续增加，因此造成了这种现象；而Android 6.0以上系统则更为安全，平均漏洞数量急剧降低。其中比较新的Android 7.0和1的系统中，平均漏洞数较上一季度有所降低，这主要是由于新版本的系统中安全补丁推送已经较为普及，厂商对于新版本系统的推送积极度有所上升。

约有0%的用户能够保持手机系统中安全补丁等级的版本与厂商所能提供的最新版本保持一致。整体上，可以明显发现近一半的用户还是会保持手机系统的更新。但是仍有14.6%的用户的系统版本滞后厂商最新版本一个月及以上，大约9.0%的用户手机版本滞后4-6个月，约17.9%的用户手机版本滞后半年以上，有12.4%的用户手机版本滞后官方最新版本达一年以上。

 

安卓手机APP威胁形势分析：

2017年12月通过360显危镜检查的约8万款安卓主流APP应用中，发现了99.5%的安卓应用存在威胁风险，平均每个应用威胁风险数量为38.6个。可见安卓市场上的APP存在严重的安全隐患。

动态注册广播威胁风险是检测到的第一威胁风险，占比6%，其次是隐式意图调用风险，占比15.5%，unzip解压缩风险是第三大风险，占比8.3%，未使用编译器堆栈保护技术风险占比6.8%，动态链接库中包含执行命令函数风险占比5.5%。此五大威胁风险占整体的60%以上。还有20余个风险林林总总的存在。

从具有威胁风险的APP类型来看，新闻资讯类应用全部都有威胁风险，其次是游戏娱乐类（9%）、购物优惠类（99.8%）、影音图像类（99.8%）和健康医疗类（99.7%）。金融理财类应用是威胁风险最少的，为98.6%。

从平均风险数量来看，优惠购物类风险数量最高，达每个应用有70个，其次是新闻资讯类（3个）、旅行出行类（44.6个）、通讯社交类（43.5个）和影音图像类（43.3个）。最少威胁数量的是金融理财类（24.1个）。

恶意程序：

2017年全年，360互联网安全中心累计截获Android平台新增恶意程序样本3万个，平均每天新增2.1万恶意程序样本。

2017年全年，从手机用户感染恶意程序情况看，360互联网安全中心累计监测到Android用户感染恶意程序14亿，平均每天恶意程序感染量约为58.5万人次。

从近六年的移动恶意程序感染人次看，经过2012-2015年的高速增长期，2016和2017年呈现下降趋势，说明手机恶意程序进入平稳期。

2017年Android平台新增恶意程序主要是资费消耗，占比高达2%；相比2016年增加了6个百分点。

从地域分布来看，感染手机恶意程序最多的地区为广东省，感染数量占全国感染数量的4%；其次为河南（6.8%）、山东（6.5%）、河北（5.9%）和浙江（5.9%）。

从城市看，北京用户感染Android平台恶意程序最多，占全国城市的9%；其次是广州（2.1%）、重庆（1.8%）、成都（1.7%）和东莞（1.5%）、石家庄（1.5%）。

Android平台挖矿木马：

从2013年开始至2018年1月，360烽火实验室共捕获Android平台挖矿木马1200余个，其中仅2018年1月Android平台挖矿木马接近400个，占全部Android平台挖矿类木马近三分之一。

Android平台挖矿木马伪装成各类应用软件，统计发现其中工具类（20%）、下载器类（17%）、壁纸类（14%）是最常伪装的应用类型。

从样本来源来看，除了被曝光的在Google play中发现的十多个挖矿木马外，我们在第三方下载站点捕获了300多个挖矿木马，根据其网页上的标识，估算出这个网站上的APP总下载次数高达260万余次。

从网站来看，据Adguard数据显示， 2017年近1个月内在Alexa排行前十万的网站上，约有220多个网站在用户打开主页时无告知的利用用户计算机进行挖矿，影响人数多达5亿。

挖矿木马在币种选择上是随着币种的挖掘难度和币种相对价格等因素而变化。目前在Android平台发现的挖矿木马选择的币种主要有（BitCoin）、莱特币(Litecoin)、狗币(Dogecoin)、卡斯币(Casinocoin) 以及门罗币（Monero）这五种。

Android平台勒索软件：

2017年1月至9月，360烽火实验室共捕获手机勒索恶意软件50万余个，平均每月捕获手机勒索软件5万余个。其中1月到5月手机勒索软件呈现波动式增长，今年我们发现了勒索软件使用的三种新型的技术手段：语音识别、二维码和文件加密。

钓鱼网站：

2017年，360手机卫士共为全国手机用户拦截各类钓鱼网站攻击8亿次，相比2016年19.5亿增长了47.7%，占360各类终端安全产品拦截钓鱼网站总量（406.5亿次）的7.1%。

从钓鱼网站拦截类型来看，赌博博彩类比重最高，为2%。其他占比较高的类型包括虚假购物（9.2%）、虚假招聘（6.6%）、金融证券（5.9%）、假药（1.6%）以及钓鱼广告（1.4%）类型的钓鱼网站。

在手机端拦截的钓鱼网站中，正常网站被黑之后用来钓鱼的网站占比为8%，其余94.2%的网站是不法分子自建的钓鱼网站。

从地域分布来看，手机端钓鱼网站拦截量最高的地区为广东省，数量占全国的1%；其次为广西（8.7%）、福建（7.4%）、湖南（6.2%）和浙江（4.1%）。其他进入Top10的地区还有四川（3.9%）、江西（3.2%）、山东（3.1%）、湖北（3.0%）、河南（2.7%）。

骚扰电话：

2017年，用户通过360手机卫士标记各类骚扰电话号码（包括360手机卫士自动检出的响一声电话）约42亿个，平均每天被用户标记的各类骚扰电话号码约66.4万个。

2017年共拦截9亿次，首次出现下降确实，这说明政府、 运营商及相关企业联手打击骚扰电话取得了一定成效，遏制住了其不断上涨的势头。平均每天为全国用户识别与拦截1.04亿次。从月度数据看，3月拦截的最多，达61.3亿次。

2017年，综合360互联网安全中心全年的拦截监测与用户标记情况、用户调研分析，“响一声”电话，以2%的比例位居用户标记骚扰电话的首位；其次为广告推销（36.1%）、诈骗电话（9.2%）、房产中介（8.2%），金融/保险（3.3%）。

从骚扰电话识别和拦截情况看，广告推销类骚扰电话占比79%而位居首位，其次为诈房产中介（9%），诈骗电话（6.1%）从去年的第二位，下降为第三位，可见在国家大力的打击下，有了初步的成效。

从骚扰电话的拦截次数看：固定电话的总拦截次数占比最高，达到2%；其次为中国联通、中国电信、中国移动的手机电话号码，分别占总拦截次数的26.0%、12.3%和9.9%。400/800电话被拦截的次数占比明显减少，2016年为10.6%，而2017年为0.3%， 其与虚拟运营商电话相同。

从用户标记为骚扰电话的号码个数看，被标记的中国移动电话号码数最多，占比高达96%；其次为中国联通、中国电信，分别为16.7%和15.6%；固定电话骚扰标记号码数从去年的第二名，下降到今年的第四名，占比14.6%；400/800电话占比最低，为0.1%。

从各地骚扰电话的拦截量上分析，2017全年数据显示，广东省用户骚扰电话拦截次数最多，在全国各地的骚扰电话拦截总次数的占比高达7%，其次是北京（10.7%）、山东（6.9%）、上海（5.8%）、四川（5.7%）、江苏（5.4%）、浙江（5.4%）、河南（5.0%）、河北（4.1%）、福建（3.7%）。

2017全年数据还显示，广东的骚扰电话号源最多，在全国各地的骚扰电话号码归属地中的占比高达1%；其次是山东与河南，被骚扰电话号码次数占比分别为7.3%、6.7%。

垃圾短信：

2017年，360手机卫士共为全国用户拦截各类垃圾短信约5亿条，平均每天拦截2698.6万条。比较近几年数据，整体呈现快速下降的趋势，从2012年的700多亿，下降到2017年的不到百亿。

2017年8%的垃圾短信是由伪基站发送的。相比2016年的4%，下降了3.2个百分点。可以说前两年疯狂的伪基站短信基本上已经被遏制住。

通过用户举报的垃圾短信内容分析来看，2017年广告推销类短信最多，占比达1%；诈骗短信约占垃圾短信总量的1.2%；违法短信占比0.7%。而2016年诈骗短信和违法短信分别占比为2.8%和4.2%，可见在政府、运营商和安全企业的共同打击下，诈骗和违法短信均出现了下降的趋势。

而对于诈骗短信进行抽样分析，冒充类的诈骗短信最多，第一名是冒充电商（5%）、其次是冒充银行/金融机构（37.7%）和冒充运营商（7.9%）。而赌博博彩（6.2%）和虚假购物（2.3%）也占用有一定的比例。

2017年广东地区用户接到的垃圾短信数量最多，占全国总量的3%；其次是河南（6.8%）、山东（6.5%）、浙江（6.5%）和江苏（6.4%）。

关键词：恶意程序、钓鱼网站、骚扰电话、垃圾短信、网络诈骗、安卓漏洞、安全趋势

 

第一章：安卓系统漏洞形势分析

本章基于“360透视镜”应用用户主动上传的80万份漏洞检测报告，检测内容包括近两年（最新漏洞检测更新至2017年12月）Android与Chrome安全公告中检出率最高的64个漏洞，涵盖了Android系统的各个层面，且都与具体设备的硬件无关。我们统计并研究了样本中的漏洞测试结果数据，并对安全状况予以客观具体的量化，希望引起用户和厂商对于手机系统漏洞的关注与重视，为Android智能手机用户的安全保驾护航，并希望以此来推进国内Android智能手机生态环境的安全、健康发展。

 

一、手机系统安全性综述

（一）、系统漏洞的危险等级

此次报告评测的64个系统漏洞，按照Google官方对系统漏洞的危险评级标准，按照危险等级递减的排序规则，共分为严重、高危、中危三个级别。即“严重”级别的漏洞对系统的安全性影响最大，其次为“高危”级别漏洞，然后为“中危”级别漏洞，低危漏洞未入选。

在这64个漏洞中，按照其危险等级分类，有严重级别漏洞11个，高危级别漏洞36个，中危级别漏洞17个。其中高危以上漏洞对用户影响较大，在此次安全评测中对此类漏洞的选取比例达73.4%。

此次系统安全分析结果显示： 87.5%的Android设备受到中危级别漏洞的危害，93.9%的Android设备存在高危漏洞，88.1%的Android设备受到严重级别的漏洞影响。

（二）、系统漏洞的危害方式

此次报告评测的64个系统漏洞，参照Google官方对系统漏洞的技术类型分类标准并加以适当合并，按照各漏洞的明显特征分类，共分为远程攻击、权限提升、信息泄漏三个类别。远程攻击漏洞是指攻击者可以通过网络连接远程对用户的系统进行攻击的漏洞，权限提升是指攻击者可以将自身所拥有的权限得以提升的漏洞，信息泄漏则为可以获得系统或用户敏感信息的漏洞。

在这64个漏洞中，按照其危害方式分类，有远程攻击漏洞30个，权限提升漏洞24个，信息泄漏漏洞10个。

此次系统安全分析结果显示：92.3%的设备存在远程攻击漏洞，91.5%的设备存在权限提升漏洞，85.6%的设备存在信息泄露漏洞。与往期相比，虽然检测漏洞数又有所增加，但影响设备比例有所降低，主要原因为部分设备的厂商大幅度更新手机的安全性，将设备的补丁等级保持与谷歌同步，修复了所有漏洞。

为了观察不同类别的漏洞中哪些影响的设备比例最多，我们分别对三种类别的漏洞进行统计排序，挑选出了各类别中影响设备比例占比前三名的漏洞，其中影响最广泛信息泄露漏洞仍然为CVE-2016-1677，72.5%的设备都存在这个漏洞，环比上升1.8%；权限提升漏洞中，CVE-2017-0666依然影响最广，77.7%的设备均受影响，影响比例下降5.2%；远程攻击漏洞中，CVE-2015-7555影响设备依然最多，影响77.7%的设备，下降10.5%。而第三季度中我们关注的CVE-2016-3861在本季度中影响设备比例已经退出Top3，取代它的位置是漏洞CVE-2015-6764，影响63.0%的设备。

第二季度中Android 新修复并公开的CVE-2015-7555漏洞在本季度中影响设备数量依然十分庞大，同比仅降低了10.5%，并且预计在未来一段时间仍会如此。CVE-2017-13156即是12月披露的“Janus”漏洞，影响59.7%的设备。

远程攻击漏洞，是危险等级高、被利用风险最大的漏洞，也是我们最关注的漏洞，为此我们统计了每期报告中远程攻击漏洞排名Top3的趋势变化，结果如下图所示。

远程攻击漏洞整体呈下降趋势，但是受漏洞影响的设备依旧保持在较高比例，4成以上的用户手机仍然处于被远程攻击的风险之中，安全形势并不乐观。

 

（三）、系统浏览器内核的安全性

系统浏览器内核是用户每日使用手机时接触最多的系统组件，不仅仅是指用户浏览网页的独立浏览器，实际上，许多安卓应用开发者考虑到开发速度、保障不同设备之间的统一性等因素，会使用系统提供的浏览器内核组件。因而用户在每日的手机使用中，大多会直接或间接地调用系统浏览器内核。

在此次评测中，系统浏览器内核是指Android系统的Webview组件的核心，在Android 4.4之前，Android系统的Webview是基于Webkit的，在Android 4.4及以后的系统中，Webview的核心被换成了Chromium(Chrome的开源版本，可近似理解为Chrome)。

在统计的样本中，Webkit内核版本由于其版本较为一致，故在示意图中仅占一块，其余为Chrome内核的不同版本。本季度Webkit所占比重几乎为0%，较上季度降低9%。截止至本季度，当前Google发布的Android平台Chrome稳定版的内核的最新版本为Chrome 60，而在此次检测中有1%的用户将自己手机中的浏览器内核升级至最新。而从图中可以看出，Chrome内核版本大于等于55的设备占24%。对比上一季度的数据，版本大于50的设备比例有所增长，从18%增至27%。在此次检测中，并且最新版本60在国内用户之中占比1%，同比上季度增长0.91%，说明国内厂商有更新浏览器内核的举措。总的来说，浏览器内核整体版本有所跟新推进，国内安卓生态圈中对浏览器内核的更新进度相对有所增强，但仍存在严重的更新滞后问题，第二节远程攻击漏洞中跻身Top3的CVE-2015-6764，即是浏览器内核漏洞，足以说明这一点。

 

由于文章较长，图片较多，请朋友们点击阅读原文进行完整阅读

你可能喜欢