Android应用开发allowBackup敏感信息泄露的一点反思

前不久突然收到了一个Bug反馈，来自国内著名的白帽子组织乌云平台，关于这个组织就不作介绍了，相信大家一定知道问题的严重性，关于修复这个Bug是很快的事情，但是修复完这个Bug以后不得不让我进入思考（就像之前处理SQL注入一样），所以写出此文记录。

其实allowBackup的风险原理主要是允许通过adb backup对打开USB调试的设备进行数据备份，一旦得到备份文件之后那就不好说了，譬如邪恶的人可以再通过adb restore将你的数据恢复到自己的设备上，然后就完全在自己的设备上以你的名义去玩弄App；或者通过代码分析出备份文件中你登陆App的一些账户密码等核心信息。总之，Google当初设计的核心肯定是为了方便备份数据考虑的，但是大家自己开发的应用似乎忽略了手机丢失或者被他人捡到的问题，譬如通讯录或者名片、支付类等App如果一旦出现此类问题后果还是很严重的，所以有必要重视一下。

2 实例还原

==========

为了验证该小问题可能带来的重大敏感信息泄露问题，我们下面选几个代表App进行测试，这样就可以直观的让你感受到泄露的一点危机。

特别声明： 本文实例中涉及的应用只为验证，且本问题一般不会造成太大风险，故烦请大家保持学习心态而不要肆意污蔑应用开发者；当然我也已经通过乌云漏洞平台对下面涉及到的应用进行了漏洞提交，相信这些应用新的迭代版本中很快就会解决掉的。

《简书》Android 1.9.7版本测试

---

结论： 会存在帐号被盗取问题。

验证： 设备A上登陆帐号密码后如下：

然后在该设备上执行如下命令将数据备份到电脑上：

XXX@ThinkPad:~/workspace/myself/temp$ adb backup -f back.ab -noapk com.jianshu.haruki

Now unlock your device and confirm the backup operation.

此时换一台设备B安装此应用，但是不登陆任何帐号密码，执行如下命令：

XXX@ThinkPad:~/workspace/myself/temp$ adb restore back.ab

Now unlock your device and confirm the restore operation.

可以看见，设备B没有进行帐号密码登陆，只是通过恢复A设备的备份数据就成功登陆了A设备的信息。

《Sina微博》Android 5.1.0版本测试

---

按照上面的类似流程测试微薄发现在设备B上面恢复设备A的数据无效，设备B依旧显示如下：

也就是说Sina微博考虑的很周全，已经修复了此类潜在的泄露风险，备份数据恢复无效，依旧需要重新登陆才可以，给一个赞。

《薄荷》Android 5.4.5.1版本测试

---

这个应用依据上面类似操作后你会发现完全可以在设备B上不用登陆帐号，只用恢复别人的备份帐号信息即可进入别人帐号界面，如下：

上面为设备B上截图情况，直接可以在设备B上操作设备A的帐号。

3 反思与总结

===========

【工匠若水 http://blog.csdn.net/yanbober 转载烦请注明出处，尊重劳动成果】

看了上面两部分的叙述以后你可能也会意识到这个问题潜在的严重性，Google的初心是好的，但是一旦被别有用心的人瞄上了这个突破点问题就严重了。譬如再高端一点，别有用心的人专门写一段代码去执行数据备份上传到自己的云端服务器，然后解析这些备份数据，小则个人信息泄露，大则哈哈，你懂的。

既然这样肯定你也会关心解决方案吧，具体解决比较容易，如下：

方案1:

---

直接在你的Android清单文件中设置android:allowBackup=”false”即可，如下：

<?xml version="1.0" encoding="utf-8"?>

<manifest xmlns:android=“http://schemas.android.com/apk/res/android”

package=“com.test.disallowbackup”

android:versionCode=“1”

android:versionName=“1.0”>

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数Android工程师，想要提升技能，往往是自己摸索成长或者是报班学习，但对于培训机构动则几千的学费，着实压力不小。自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年Android移动开发全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友，同时减轻大家的负担。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上Android开发知识点，真正体系化！

由于文件比较大，这里只是将部分目录大纲截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且后续会持续更新

如果你觉得这些内容对你有帮助，可以添加V获取：vip204888 （备注Android）

结语

看到这篇文章的人不知道有多少是和我一样的Android程序员。

35岁，这是我们这个行业普遍的失业高发阶段，这种情况下如果还不提升自己的技能，进阶发展，我想，很可能就是本行业的职业生涯的终点了。

我们要有危机意识，切莫等到一切都成定局时才开始追悔莫及。只要有规划的，有系统地学习，进阶提升自己并不难，给自己多充一点电，你才能走的更远。

千里之行始于足下。这是上小学时，那种一元钱一个的日记本上每一页下面都印刷有的一句话，当时只觉得这句话很短，后来渐渐长大才慢慢明白这句话的真正的含义。

有了学习的想法就赶快行动起来吧，不要被其他的事情牵绊住了前行的脚步。不要等到裁员时才开始担忧，不要等到面试前一晚才开始紧张，不要等到35岁甚至更晚才开始想起来要学习要进阶。

给大家一份系统的Android学习进阶资料，希望这份资料可以给大家提供帮助。

一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

帮助。
[外链图片转存中…(img-YaYlbAkB-1712830502720)]

一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！
[外链图片转存中…(img-h9SWbdyh-1712830502721)]