■本报记者 武晓莉
　　近日，中国信息通信研究院泰尔终端实验室在电信终端产业协会全会上发布了《2018年第三季度终端安全漏洞报告》（以下简称《报告》）。《报告》显示，检测的600款智能终端上，每款终端平均检出21个未修补漏洞。
　　众所周知，移动智能终端漏洞会导致用户的智能终端遭到网络攻击，包括窃取隐私和钱财、勒索软件、非法收集数据、劫持APP应用、监控用户行为、进行网络攻击、持续渗透、横向渗透内网以及挖矿等。《报告》指出，目前智能终端碎片化严重，新版本占有率上升缓慢。2017年-2018年上市的Android平台手机，系统版本分布在4.4-9.0，An－droid8.1.0是当前主流；内核版本分布在3.4-4.9，其中4.9版本占据半壁江山。而生态和供应链碎片化问题导致漏洞不能及时修补。例如，Mo－bilePWN20WN2017攻破的三星S8漏洞中，就包含一个早已被修复的Chromc漏洞。
　　移动终端漏洞检测十分必要。泰尔终端实验室有关人士介绍，根据《网络安全法》第二十二条的规定，网络产品、服务应该符合相关国家标准的强制性要求；网络产品、服务的提供者不得设置恶意程序；发现其网络产品、服务存在安全缺陷、漏洞等风险时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。
　　终端产品的内核版本越高、功能越复杂，安全防护机制就越多。《报告》显示，上市终端设备内核以Linuxkernel为主，也存在碎片化严重的问题，3.18和4.4版本是过去一年的主流，移动端内核版本相对变化较小，升级速度相对较慢。
　　据介绍，手机操作系统和应用软件的漏洞要求分为五级，移动智能终端应保证不含有国家信息安全漏洞共享平台和中国国家信息安全漏洞库6个月前公布的高危漏洞。《报告》显示，2017年-2018年对600款终端进行了350个漏洞测试。每款终端设备平均检测出21个未修补漏洞，漏洞平均存在时间277天，终端设备漏洞最多的可达185个。36%的终端设备能够达到《移动智能终端安全能力技术要求》五级测评中的漏洞要求。与半年前相比，符合度提升了1倍，符合要求的智能终端大多为旗舰产品。
　　终端设备上市后，安全补丁下发不及时可导致终端设备漏洞数量增长多达10倍，系统更新修补旧漏洞的同时也存在引入新漏洞的现象。《报告》显示，厂商存在不修补漏洞、打安全补丁不及时的情况。出货量前十的厂商，漏洞修补的差距也较大。
　　此外，各厂商终端上市后，漏洞数比上市前明显增多。