首页 > TAG信息列表 > AllowBackup
Android应用开发allowBackup敏感信息泄露的一点反思,玩转MySQL
XXX@ThinkPad:~/workspace/myself/temp$ adb restore back.ab Now unlock your device and confirm the restore operation. 可以看见,设备B没有进行帐号密码登陆,只是通过恢复A设备的备份数据就成功登陆了A设备的信息。 《Sina微博》Android 5.1.0版本测试 按照上面的类似流【无标题】AndroidManifest中android:allowBackup属性
Android API Level 8及其以上系统提供了应用程序数据的备份和恢复功能,此功能的开关决定于该应用程序中AndroidManifest.xml文件中的allowBackup属性值,其属性值默认是true。当allowBackup标志为true时,用户即可通过adb backup和adb restore来进行对应用数据的备份和恢复,这可能会带关于allowbackup漏洞
在androidmanifest.xml文件中 则存在allowbackup漏洞 该漏洞是怎么利用的呢,或者说危害在哪里呢? 借用一下大佬的例子:https://blog.csdn.net/zihao2012/article/details/44220389 某IT男一直暗恋部门某女神,一天女神手机太卡了找IT男帮助清理手机空间,IT男高兴地答应女神android启用和停用自动备份
android 6.0 (API 级别 23 或者更高)版本的应用会自动参与自动备份。设置布尔值android:allowBackUp="true"即可启用或者停用备份。 xml配置如下: <manifest ... > ... <application android:allowBackup="true" ... > ... </application> </manifest>利用AllowBackup属性获取app备份文件
获取AndroidManifest.xml 直接修改apk文件为zip格式的话,xml文件会出现乱码情况。所以这里建议使用apktools来处理apk文件。 AllowBackup 在androidmanifest.xml文件中allowbackup属性设置为true。当allowbackup为true时,用户可以通过adb backup来进行对应用数据的备份,在无root的情APP安全测试要点
APP面临的威胁 APP评估思路 APP自动化检测思路 安全测试要点 证书和签名 将apk文件更名为zip 使用unzip解压 META-INF中包含签名文件和真正的CERT.RSA文件(公钥证书自签名) 使用keytool工具查看证书内容 keytool -printcert -file META-INF/CERT.RSA cat META-INF/CERT.SFError: Attribute application@allowBackup value=(false) from AndroidManifest.xml:14:7-34 is also pres
解决方法: 修改文件: 在manifest标签中添加 xmlns:tools="http://schemas.android.com/tools" 在application标签中添加 tools:replace="android:allowBackup"注意:不要在发行版本中设置android:allowbackup='true'
一般来说系统会默认android:allowBackup="true",但是这是有重大的安全隐患,强烈建议在发行版本中设置为“false” 详细讲解信息