近年來，隨著華為、小米、OPPO等安卓系手機廠商發力，安卓機的外觀設計、系統性能、配置水平均獲得大幅提升。在中國，Android系統也成為了智能手機中市場占有率最高的操作系統，承載著億萬手機用戶的工作生活，大量的Android開發人員為其添磚加瓦。然而樹大招風，Android智能手機也因此暴露在各種惡意軟件、系統漏洞的威脅之中，無數惡意軟件、電信詐騙不斷影響用戶的手機安全，其中，各種隱藏在系統之中的系統漏洞對用戶的手機安全影響則更為可怕。

　　近期，360互聯網安全中心發布了《2017年度安卓系統安全性生態環境研究報告》(以下簡稱：報告)，報告稱：目前已有七成漏洞是高危以上，存在較大的安全威脅;用戶系統補丁應及時更新，減少漏洞數量;87.4%的設備存在至少一個瀏覽器內核漏洞，18.2%的設備同時存在4個瀏覽器內核漏洞;手機漏洞的數量非常有指向性，偏向于內陸地區和男人;近半用戶保持同步更新，滯后比例有所下降;

　　七成漏洞高危以上 潛在安全風險較大

　　此次報告評測的64個系統漏洞，按照Google官方對系統漏洞的危險評級標準，按照危險等級遞減的排序規則，共分為嚴重、高危、中危三個級別。即“嚴重”級別的漏洞對系統的安全性影響最大，其次為“高危”級別漏洞，然后為“中危”級別漏洞，低危漏洞未入選。

　　在這64個漏洞中，按照其危險等級分類，有嚴重級別漏洞11個，高危級別漏洞36個，中危級別漏洞17個。其中高危以上漏洞對用戶影響較大，在此次安全評測中對此類漏洞的選取比例達73.4%。

　　同時，此次系統安全分析結果顯示：87.5%的Android設備受到中危級別漏洞的危害，93.9%的Android設備存在高危漏洞，88.1%的Android設備受到嚴重級別的漏洞影響。

　　

　　圖一：接受檢測的64個安卓系統漏洞的危險等級及其影響設備

　　在此次測試中，360檢測了64個已知漏洞，有93.94%的設備存在至少一個安全漏洞，漏洞最多的設備甚至包含有49個安全漏洞。這一數據較上一季度95.58%的比例降低幅度不大，其他漏洞個數的比例情況與上一季度相比整體有所降低，但依然保持較高的比例。

　　

　　圖二：手機存在的漏洞個數占比

　　小內核大關聯：手機瀏覽器安全性全靠它

　　用戶每日使用手機時，接觸最多的軟件之一便是瀏覽器了，而用戶能通過瀏覽器成功搜索到相應信息，則是瀏覽器內核的功勞了，它在其中發揮著橋梁紐帶作用，為用戶建立起與互聯網的連接。用戶在使用瀏覽器之外的軟件時，大多會直接或間接地調用系統瀏覽器內核，因此，許多安卓應用開發者進行軟件開發時，還需考慮內置瀏覽器內核兼容性的問題，這也就決定了它在手機廠商心目中的地位。

　　報告提到，瀏覽器內核漏洞多數可通過遠程方式利用，因而對于用戶的手機安全危害較大。安卓系統瀏覽器內核漏洞的分布情況如下圖所示。其中87.4%的設備存在至少一個瀏覽器內核漏洞，18.2%的設備同時存在4個瀏覽器內核漏洞，為漏洞數量最多的設備。有12.6%的設備不受這些漏洞影響。較上一季度，瀏覽器安全情況有所上升，但上升比例不大。

　　

　　圖三：安卓系統瀏覽器內核漏洞個數比例

　　系統與補丁應及時更新 防止系統漏洞作亂

　　從下圖可以看出，安卓系統版本與漏洞數量并不是簡單的線性關系。Android 5.0以下版本漏洞數量隨版本升高而遞增，并不是說明Android版本越高越不安全，而是因為此次檢測主要關注的是最近兩年的漏洞，而Android 4.4發布距今已經過去了3年的時間，因而相對版本越老的Android系統因為不支持較新的功能而可能不存在相應的漏洞。Android 5.0以上版本，隨著系統版本升高，漏洞數量急劇減少。

　　實際上系統的安全性受到廠商重視度、系統功能的多少與變動，甚至服役時間、普及程度、惡意攻擊者的攻擊價值等等因素的共同影響，但修補了歷史已知漏洞的最新系統往往會相對安全些。對此，360手機衛士安全專家提醒廣大安卓用戶，在個人設備配置允許的條件下，應及時更新系統和安全補丁等級的版本，以降低手機漏洞被利用的成功率。

　　

　　圖四：不同安卓系統版本的手機平均漏洞數

　　手機漏洞不僅偏愛內陸地區 還偏愛男性用戶

　　據《報告》顯示，系統漏洞如騷擾電話、垃圾短信等其他移動安全問題一樣，也有著明顯的地域分布特征，相對來說，它們更愿在內陸地區“橫行”。其中，青海、寧夏、甘肅這三個省份平臺每臺手機擁有漏洞數量排名靠前，成為手機漏洞的重災區;而安全性最高的前三名則為上海、廣東、天津，用戶擁有的手機漏洞相對較少。

　　

　　圖五：不同地域用戶手機系統漏洞數量分布

　　換句話說，也可以說是經濟越發達的地區，用戶所使用的手機的平均漏洞數量越少，手機安全性相對越高。一方面來說，經濟發達地區的手機用戶，安全意識相對來說較高，在更新系統和安全補丁等級版本上更積極;另一方面，則同經濟發達地區手機用戶的經濟實力有關，他們往往資金寬裕，所購買的手機無論是系統性能還是配置，等級較高，安全也就更有保障。

　　手機漏洞除了“嫌富愛貧”外，還對男性群體也是有著一種獨特的偏愛。據《報告》數據顯示，女性手機平均漏洞數低于男性。女性手機安全性之所以高于男性，主要在于女性同男性相比，更加謹慎細致，除及時更新系統版本外，對于來源不明的網站、文件等，也不會輕易打開或下載，因此留給漏洞入侵的機會便也減少。當然也有一種另外可能，廣大女性同胞在換手機上相對男性會更加頻繁，因此新手機的手機系統也就自然而然更加高了。

　　

　　圖六：不同性別手機系統版本與安全性差異

　　近半用戶保持同步更新 滯后比例有所下降

　　可以看到，近一半的手機用戶能夠保持手機系統與廠商最新系統的同步更新，且6成以上的用戶能夠在廠商推出更新版本后三個月內更新自己的手機;但能夠享受與安卓官方最新系統保持同步更新服務的用戶則僅為5%，滯后時間小于3個月的用戶也只有近20%，較上季度比例均有所下降。綜合對比用戶手機系統的更新狀態、安卓官方的更新狀態和手機廠商的更新狀態，360發現：與安卓官方最新更新情況相比，用戶的手機系統平均滯后了約11.1個月，但與手機廠商已經提供該機型的最新版本相比，則平均只滯后了4.1個月。

　　

　　圖七：用戶手機系統與安卓官方及手機廠商更新情況對比

　　此外，在及時推送安全補丁級別方面，VIVO，三星、華為、小米、OPPO這五個廠商在本季度的檢測結果顯示較好，而且在本季度的調研中這五個廠商均有保持與谷歌最新安全補丁同步的更新提供，這也顯示了廠商對于用戶手機中安全補丁等級的逐步重視。

　　

　　圖八：各品牌現存用戶安卓系統實際補丁日期分布

　　《2017年度安卓系統安全性生態環境研究報告》是以“360透視鏡”應用用戶主動上傳的80萬份漏洞檢測報告為數據背書的，檢測內容包括近兩年Android與Chrome安全公告中檢出率最高的64個漏洞，涵蓋Android系統的各個層面。此次報告發布，旨在引起用戶和廠商對于手機系統漏洞的關注與重視，為Android智能手機用戶的安全保駕護航，并希望以此來推進國內Android智能手機生態環境的安全、健康發展。