Android应用开发allowBackup敏感信息泄露的一点反思

【工匠若水 http://blog.csdn.net/yanbober 转载烦请注明出处，尊重劳动成果】

其实这篇文章可能有些小题大作，但回过头想想还是很有必要的，有点阴沟里翻船的感觉。相信大家都知道Android API Level 8开始提供了为应用程序备份和恢复数据的功能，此功能的开关可以通过应用程序中AndroidManifest.xml文件的allowBackup属性值进行配置，默认是True，所以用户可以对我们应用程序进行数据备份。相信很多人都和我一样一直当作耳边风过了一下Android这个特性，然后就一直没再打理了。然而旧事重提的故事是下面这样开始的：

前不久突然收到了一个Bug反馈，来自国内著名的白帽子组织乌云平台，关于这个组织就不作介绍了，相信大家一定知道问题的严重性，关于修复这个Bug是很快的事情，但是修复完这个Bug以后不得不让我进入思考（就像之前处理SQL注入一样），所以写出此文记录。

其实allowBackup的风险原理主要是允许通过adb backup对打开USB调试的设备进行数据备份，一旦得到备份文件之后那就不好说了，譬如邪恶的人可以再通过adb restore将你的数据恢复到自己的设备上，然后就完全在自己的设备上以你的名义去玩弄App；或者通过代码分析出备份文件中你登陆App的一些账户密码等核心信息。总之，Google当初设计的核心肯定是为了方便备份数据考虑的，但是大家自己开发的应用似乎忽略了手机丢失或者被他人捡到的问题，譬如通讯录或者名片、支付类等App如果一旦出现此类问题后果还是很严重的，所以有必要重视一下。

2 实例还原

==========

为了验证该小问题可能带来的重大敏感信息泄露问题，我们下面选几个代表App进行测试，这样就可以直观的让你感受到泄露的一点危机。

特别声明： 本文实例中涉及的应用只为验证，且本问题一般不会造成太大风险，故烦请大家保持学习心态而不要肆意污蔑应用开发者；当然我也已经通过乌云漏洞平台对下面涉及到的应用进行了漏洞提交，相信这些应用新的迭代版本中很快就会解决掉的。

《简书》Android 1.9.7版本测试

---

结论： 会存在帐号被盗取问题。

验证： 设备A上登陆帐号密码后如下：

然后在该设备上执行如下命令将数据备份到电脑上：

XXX@ThinkPad:~/workspace/myself/temp$ adb backup -f back.ab -noapk com.jianshu.haruki

Now unlock your device and confirm the backup operation.

此时换一台设备B安装此应用，但是不登陆任何帐号密码，执行如下命令：

XXX@ThinkPad:~/workspace/myself/temp$ adb restore back.ab

Now unlock your device and confirm the restore operation.

可以看见，设备B没有进行帐号密码登陆，只是通过恢复A设备的备份数据就成功登陆了A设备的信息。

《Sina微博》Android 5.1.0版本测试

---

按照上面的类似流程测试微薄发现在设备B上面恢复设备A的数据无效，设备B依旧显示如下：

也就是说Sina微博考虑的很周全，已经修复了此类潜在的泄露风险，备份数据恢复无效，依旧需要重新登陆才可以，给一个赞。

《薄荷》Android 5.4.5.1版本测试

---

这个应用依据上面类似操作后你会发现完全可以在设备B上不用登陆帐号，只用恢复别人的备份帐号信息即可进入别人帐号界面，如下：

上面为设备B上截图情况，直接可以在设备B上操作设备A的帐号。

3 反思与总结

===========

【工匠若水 http://blog.csdn.net/yanbober 转载烦请注明出处，尊重劳动成果】

看了上面两部分的叙述以后你可能也会意识到这个问题潜在的严重性，Google的初心是好的，但是一旦被别有用心的人瞄上了这个突破点问题就严重了。譬如再高端一点，别有用心的人专门写一段代码去执行数据备份上传到自己的云端服务器，然后解析这些备份数据，小则个人信息泄露，大则哈哈，你懂的。

既然这样肯定你也会关心解决方案吧，具体解决比较容易，如下：

方案1:

---

直接在你的Android清单文件中设置android:allowBackup=”false”即可，如下：

<?xml version="1.0" encoding="utf-8"?>

<manifest xmlns:android=“http://schemas.android.com/apk/res/android”
先自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数初中级Android工程师，想要提升技能，往往是自己摸索成长或者是报班学习，但对于培训机构动则近万的学费，着实压力不小。自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《Android移动开发全套学习资料》送给大家，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友，同时减轻大家的负担。

由于文件比较大，这里只是将部分目录截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频

如果你觉得这些内容对你有帮助，可以扫码领取！！！！

最后

简历首选内推方式，速度快，效率高啊！然后可以在拉钩，boss，脉脉，大街上看看。简历上写道熟悉什么技术就一定要去熟悉它，不然被问到不会很尴尬！做过什么项目，即使项目体量不大，但也一定要熟悉实现原理！不是你负责的部分，也可以看看同事是怎么实现的，换你来做你会怎么做？做过什么，会什么是广度问题，取决于项目内容。但做过什么，达到怎样一个境界，这是深度问题，和个人学习能力和解决问题的态度有关了。大公司看深度，小公司看广度。大公司面试你会的，小公司面试他们用到的你会不会，也就是岗位匹配度。

面试过程一定要有礼貌！即使你觉得面试官不尊重你，经常打断你的讲解，或者你觉得他不如你，问的问题缺乏专业水平，你也一定要尊重他，谁叫现在是他选择你，等你拿到offer后就是你选择他了。

另外，描述问题一定要慢！不要一下子讲一大堆，慢显得你沉稳、自信，而且你还有时间反应思路接下来怎么讲更好。现在开发过多依赖ide，所以会有个弊端，当我们在面试讲解很容易不知道某个方法怎么读，这是一个硬伤…所以一定要对常见的关键性的类名、方法名、关键字读准，有些面试官不耐烦会说“你到底说的是哪个？”这时我们会容易乱了阵脚。正确的发音+沉稳的描述+好听的嗓音决对是一个加分项！

最重要的是心态！心态！心态！重要事情说三遍！面试时间很短，在短时间内对方要摸清你的底子还是比较不现实的，所以，有时也是看眼缘，这还是个看脸的时代。

希望大家都能找到合适自己满意的工作！

进阶学习视频

附上：我们之前因为秋招收集的二十套一二线互联网公司Android面试真题 （含BAT、小米、华为、美团、滴滴）和我自己整理Android复习笔记（包含Android基础知识点、Android扩展知识点、Android源码解析、设计模式汇总、Gradle知识点、常见算法题汇总。）

《Android学习笔记总结+移动架构视频+大厂面试真题+项目实战源码》，点击传送门，即可免费领取！

、Android扩展知识点、Android源码解析、设计模式汇总、Gradle知识点、常见算法题汇总。）

[外链图片转存中…(img-yjgMmKqB-1711281787302)]
《Android学习笔记总结+移动架构视频+大厂面试真题+项目实战源码》，点击传送门，即可免费领取！