Android应用开发allowBackup敏感信息泄露的一点反思

【工匠若水 http://blog.csdn.net/yanbober 转载烦请注明出处，尊重劳动成果】

其实这篇文章可能有些小题大作，但回过头想想还是很有必要的，有点阴沟里翻船的感觉。相信大家都知道Android API Level 8开始提供了为应用程序备份和恢复数据的功能，此功能的开关可以通过应用程序中AndroidManifest.xml文件的allowBackup属性值进行配置，默认是True，所以用户可以对我们应用程序进行数据备份。相信很多人都和我一样一直当作耳边风过了一下Android这个特性，然后就一直没再打理了。然而旧事重提的故事是下面这样开始的：

前不久突然收到了一个Bug反馈，来自国内著名的白帽子组织乌云平台，关于这个组织就不作介绍了，相信大家一定知道问题的严重性，关于修复这个Bug是很快的事情，但是修复完这个Bug以后不得不让我进入思考（就像之前处理SQL注入一样），所以写出此文记录。

其实allowBackup的风险原理主要是允许通过adb backup对打开USB调试的设备进行数据备份，一旦得到备份文件之后那就不好说了，譬如邪恶的人可以再通过adb restore将你的数据恢复到自己的设备上，然后就完全在自己的设备上以你的名义去玩弄App；或者通过代码分析出备份文件中你登陆App的一些账户密码等核心信息。总之，Google当初设计的核心肯定是为了方便备份数据考虑的，但是大家自己开发的应用似乎忽略了手机丢失或者被他人捡到的问题，譬如通讯录或者名片、支付类等App如果一旦出现此类问题后果还是很严重的，所以有必要重视一下。

2 实例还原

==========

为了验证该小问题可能带来的重大敏感信息泄露问题，我们下面选几个代表App进行测试，这样就可以直观的让你感受到泄露的一点危机。

特别声明： 本文实例中涉及的应用只为验证，且本问题一般不会造成太大风险，故烦请大家保持学习心态而不要肆意污蔑应用开发者；当然我也已经通过乌云漏洞平台对下面涉及到的应用进行了漏洞提交，相信这些应用新的迭代版本中很快就会解决掉的。

《简书》Android 1.9.7版本测试

---

结论： 会存在帐号被盗取问题。

验证： 设备A上登陆帐号密码后如下：

然后在该设备上执行如下命令将数据备份到电脑上：

XXX@ThinkPad:~/workspace/myself/temp$ adb backup -f back.ab -noapk com.jianshu.haruki

Now unlock your device and confirm the backup operation.

此时换一台设备B安装此应用，但是不登陆任何帐号密码，执行如下命令：

XXX@ThinkPad:~/workspace/myself/temp$ adb restore back.ab

Now unlock your device and confirm the restore operation.

可以看见，设备B没有进行帐号密码登陆，只是通过恢复A设备的备份数据就成功登陆了A设备的信息。

《Sina微博》Android 5.1.0版本测试

---

按照上面的类似流程测试微薄发现在设备B上面恢复设备A的数据无效，设备B依旧显示如下：

也就是说Sina微博考虑的很周全，已经修复了此类潜在的泄露风险，备份数据恢复无效，依旧需要重新登陆才可以，给一个赞。

《薄荷》Android 5.4.5.1版本测试

---

这个应用依据上面类似操作后你会发现完全可以在设备B上不用登陆帐号，只用恢复别人的备份帐号信息即可进入别人帐号界面，如下：

上面为设备B上截图情况，直接可以在设备B上操作设备A的帐号。

3 反思与总结

===========

【工匠若水 http://blog.csdn.net/yanbober 转载烦请注明出处，尊重劳动成果】

看了上面两部分的叙述以后你可能也会意识到这个问题潜在的严重性，Google的初心是好的，但是一旦被别有用心的人瞄上了这个突破点问题就严重了。譬如再高端一点，别有用心的人专门写一段代码去执行数据备份上传到自己的云端服务器，然后解析这些备份数据，小则个人信息泄露，大则哈哈，你懂的。

既然这样肯定你也会关心解决方案吧，具体解决比较容易，如下：

方案1:

---

直接在你的Android清单文件中设置android:allowBackup=”false”即可，如下：

<?xml version="1.0" encoding="utf-8"?>

<manifest xmlns:android=“http://schemas.android.com/apk/res/android”
自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数初中级Android工程师，想要提升技能，往往是自己摸索成长或者是报班学习，但对于培训机构动则近万的学费，着实压力不小。自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年Android移动开发全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友，同时减轻大家的负担。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上Android开发知识点，真正体系化！

由于文件比较大，这里只是将部分目录截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且会持续更新！

如果你觉得这些内容对你有帮助，可以扫码获取！！（资料价值较高，非无偿）

学习分享，共勉

Android高级架构师进阶之路

题外话，我在阿里工作多年，深知技术改革和创新的方向，Android开发以其美观、快速、高效、开放等优势迅速俘获人心，但很多Android兴趣爱好者所需的进阶学习资料确实不太系统，完整。今天我把我搜集和整理的这份学习资料分享给有需要的人

• Android进阶知识体系学习脑图

• Android进阶高级工程师学习全套手册

• 对标Android阿里P7，年薪50w+学习视频

• 大厂内部Android高频面试题，以及面试经历

《Android学习笔记总结+移动架构视频+大厂面试真题+项目实战源码》，点击传送门即可获取！

m8Su9GSO-1711598943311)]

• 大厂内部Android高频面试题，以及面试经历

[外链图片转存中…(img-MXGy3gU1-1711598943311)]

《Android学习笔记总结+移动架构视频+大厂面试真题+项目实战源码》，点击传送门即可获取！