國(guó)內(nèi)安全組織發(fā)表，檢測(cè)發(fā)現(xiàn)國(guó)內(nèi)安卓運(yùn)用市場(chǎng)十分之一的APP存在縫隙而簡(jiǎn)單被進(jìn)行“運(yùn)用克隆”進(jìn)犯，甚至國(guó)內(nèi)用戶上億的多個(gè)干流APP均存在這類縫隙，簡(jiǎn)直影響國(guó)內(nèi)一切安卓用戶。

　　國(guó)家信息安全縫隙同享渠道（CNVD）表明，縫隙影響運(yùn)用WebView控件，敞開file域訪問(wèn)而且未按安全策略開發(fā)的Android運(yùn)用APP。進(jìn)犯者使用該縫隙，可長(zhǎng)途獲取用戶隱私數(shù)據(jù)（包含手機(jī)運(yùn)用數(shù)據(jù)、相片、文檔等敏感信息），還可盜取用戶登錄憑據(jù)，在受害者毫無(wú)發(fā)覺(jué)的狀況下完成對(duì)APP用戶賬戶的完全操控。因?yàn)樵摻M件廣泛運(yùn)用于安卓渠道，導(dǎo)致很多APP受影響，構(gòu)成較為嚴(yán)峻的進(jìn)犯要挾。

　　騰訊安全玄武實(shí)驗(yàn)室負(fù)責(zé)人于旸表明，該“運(yùn)用克隆”的移動(dòng)進(jìn)犯要挾模型是根據(jù)移動(dòng)運(yùn)用的一些根本規(guī)劃特色導(dǎo)致的，所以簡(jiǎn)直一切移動(dòng)運(yùn)用都適用該進(jìn)犯模型。在這個(gè)進(jìn)犯模型的視角下，很多曾經(jīng)以為要挾不大、廠商不注重的安全問(wèn)題，都能夠輕松“克隆”用戶賬戶，盜取隱私信息，盜取賬號(hào)及資金等。

　　“傳統(tǒng)的使用軟件縫隙進(jìn)行進(jìn)犯的思路，一般是先用縫隙獲得操控，再植入后門。比如想長(zhǎng)時(shí)間進(jìn)出你酒店的房間，就要先悄悄跟隨你進(jìn)門，再悄悄把鎖弄壞，今后就能隨時(shí)進(jìn)來(lái)。現(xiàn)代移動(dòng)操作系統(tǒng)現(xiàn)已針對(duì)這種形式做了防護(hù)，不是說(shuō)不可能再這樣進(jìn)犯，但難度極大。如果我們換一個(gè)思路：進(jìn)門后，找到你的酒店房卡，仿制一張，就能夠隨時(shí)進(jìn)出了。不光能夠隨時(shí)進(jìn)出，還能以你的名義在酒店里消費(fèi)?，F(xiàn)在，大部分移動(dòng)運(yùn)用在規(guī)劃上都沒(méi)有考慮這種進(jìn)犯方式。”于旸說(shuō)。

　　根據(jù)該進(jìn)犯模型，騰訊安全玄武實(shí)驗(yàn)室以某個(gè)常被廠商忽略的安全問(wèn)題進(jìn)行檢查，在200個(gè)移動(dòng)運(yùn)用中發(fā)現(xiàn)27個(gè)存在縫隙，份額超越10%。

　　國(guó)家互聯(lián)網(wǎng)應(yīng)急中心網(wǎng)絡(luò)安全處副處長(zhǎng)李佳表明，在獲取到縫隙的相關(guān)狀況之后，中心安排了相關(guān)的技術(shù)人員對(duì)縫隙進(jìn)行了驗(yàn)證，而且也為縫隙分配了縫隙編號(hào)(CVE201736682)，于2017年12月10號(hào)向27家具體的APP發(fā)送了縫隙安全通報(bào)，供給縫隙詳細(xì)狀況及建立了修正計(jì)劃?，F(xiàn)在有的APP現(xiàn)已有修正了，有的還沒(méi)有修正。