2024年安卓最全Android应用开发allowBackup敏感信息泄露的一点反思,腾讯&字节&网易&华为Android面试题分享

于 2024-05-06 19:36:45 发布
阅读量941 收藏 29
点赞数 26
分类专栏: 程序员 文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84520215/article/details/138505726
版权

总结

找工作是个很辛苦的事情,而且一般周期都比较长,有时候既看个人技术,也看运气。第一次找工作,最后的结果虽然不尽如人意,不过收获远比offer大。接下来就是针对自己的不足,好好努力了。

最后为了节约大家的时间,我把我学习所用的资料和面试遇到的问题和答案都整理成了PDF文档

喜欢文章的话请关注、点赞、转发 谢谢!

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化学习资料的朋友,可以戳这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

【工匠若水 http://blog.csdn.net/yanbober 转载烦请注明出处,尊重劳动成果】

其实这篇文章可能有些小题大作,但回过头想想还是很有必要的,有点阴沟里翻船的感觉。相信大家都知道Android API Level 8开始提供了为应用程序备份和恢复数据的功能,此功能的开关可以通过应用程序中AndroidManifest.xml文件的allowBackup属性值进行配置,默认是True,所以用户可以对我们应用程序进行数据备份。相信很多人都和我一样一直当作耳边风过了一下Android这个特性,然后就一直没再打理了。然而旧事重提的故事是下面这样开始的:

前不久突然收到了一个Bug反馈,来自国内著名的白帽子组织乌云平台,关于这个组织就不作介绍了,相信大家一定知道问题的严重性,关于修复这个Bug是很快的事情,但是修复完这个Bug以后不得不让我进入思考(就像之前处理SQL注入一样),所以写出此文记录。

其实allowBackup的风险原理主要是允许通过adb backup对打开USB调试的设备进行数据备份,一旦得到备份文件之后那就不好说了,譬如邪恶的人可以再通过adb restore将你的数据恢复到自己的设备上,然后就完全在自己的设备上以你的名义去玩弄App;或者通过代码分析出备份文件中你登陆App的一些账户密码等核心信息。总之,Google当初设计的核心肯定是为了方便备份数据考虑的,但是大家自己开发的应用似乎忽略了手机丢失或者被他人捡到的问题,譬如通讯录或者名片、支付类等App如果一旦出现此类问题后果还是很严重的,所以有必要重视一下。

这里写图片描述

2 实例还原

==========

为了验证该小问题可能带来的重大敏感信息泄露问题,我们下面选几个代表App进行测试,这样就可以直观的让你感受到泄露的一点危机。

特别声明: 本文实例中涉及的应用只为验证,且本问题一般不会造成太大风险,故烦请大家保持学习心态而不要肆意污蔑应用开发者;当然我也已经通过乌云漏洞平台对下面涉及到的应用进行了漏洞提交,相信这些应用新的迭代版本中很快就会解决掉的。

《简书》Android 1.9.7版本测试

结论: 会存在帐号被盗取问题。

验证: 设备A上登陆帐号密码后如下:

这里写图片描述

然后在该设备上执行如下命令将数据备份到电脑上:

XXX@ThinkPad:~/workspace/myself/temp$ adb backup -f back.ab -noapk com.jianshu.haruki

Now unlock your device and confirm the backup operation.

此时换一台设备B安装此应用,但是不登陆任何帐号密码,执行如下命令:

XXX@ThinkPad:~/workspace/myself/temp$ adb restore back.ab

Now unlock your device and confirm the restore operation.

可以看见,设备B没有进行帐号密码登陆,只是通过恢复A设备的备份数据就成功登陆了A设备的信息。

《Sina微博》Android 5.1.0版本测试

按照上面的类似流程测试微薄发现在设备B上面恢复设备A的数据无效,设备B依旧显示如下:

这里写图片描述

也就是说Sina微博考虑的很周全,已经修复了此类潜在的泄露风险,备份数据恢复无效,依旧需要重新登陆才可以,给一个赞。

《薄荷》Android 5.4.5.1版本测试

这个应用依据上面类似操作后你会发现完全可以在设备B上不用登陆帐号,只用恢复别人的备份帐号信息即可进入别人帐号界面,如下:

这里写图片描述

上面为设备B上截图情况,直接可以在设备B上操作设备A的帐号。

3 反思与总结

===========

【工匠若水 http://blog.csdn.net/yanbober 转载烦请注明出处,尊重劳动成果】

最后

给大家分享一份移动架构大纲,包含了移动架构师需要掌握的所有的技术体系,大家可以对比一下自己不足或者欠缺的地方有方向的去学习提升;

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化学习资料的朋友,可以戳这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

份系统化学习资料的朋友,可以戳这里获取](https://bbs.csdn.net/topics/618156601)**

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

2401_84520215
关注
专栏目录
java面试题整理.zip 阿里腾讯字节华为常见面试题目整理
04-14
Java面试题精华集包含了众多Java开发者在面试过程中可能会遇到的核心知识点,主要针对阿里巴巴、腾讯字节跳动和华为等知名公司常见的面试题目。这些题目旨在考察候选人的基础理论、编程能力、解决问题的能力以及对...
AndroidallowBackup属性
热门推荐
蒙的博客
11-14 6万+
前言:公司平台对我们的项目做了安全检测,然后就给我们部门报了一个安全漏洞的问题,就是在AndroidManifest.xml配置文件中没有设置allowBackup标志,因为allowBackup的默认值为true,所以这个高危风险漏洞就是指的在AndroidManifest中allowBackup设置为true了。很多产品我想如果没有危险扫面警报的时候都是设置为true了,所以我今天想着好好介绍...
AndroidAndroid属性allowBackup安全风险
anj8639的博客
11-05 300
allowBackup值为true或false,Android API Level 8及其以上Android系统提供了为应用程序数据的备份和恢复功能,当allowBackup标志为true时,用户即可通过adb backup和adb restore来进行对应用数据的备份和恢复,这可能会带来一定的安全风险。默认是true。 Android属性allowBackup安全风险...
AndroidallowBackup属性的含义和危险性实例讲解
KID__77的博客
09-08 1574
本文转载自:https://blog.csdn.net/qq_31387043/article/details/51452782 一、前言 今天在开发的过程中遇到一个问题,就是关于AndroidManifest.xml中的allowBackup属性,也算是自己之前对这个属性的不了解,加上IDE的自动生成代码,没太注意这个属性,但是没想到这个属性会直接导致隐私数据的丢失。下面就来看一下这个属性的影响到底有多大。他的作用是什么? 二、Android中的allowBackup属性 1、allowBack
Android应用开发allowBackup敏感信息泄露一点反思
工匠若水
01-01 2万+
其实这篇文章可能有些小题大作,但回过头想想还是很有必要的,有点阴沟里翻船的感觉。相信大家都知道Android API Level 8开始提供了为应用程序备份和恢复数据的功能,此功能的开关可以通过应用程序中AndroidManifest.xml文件的allowBackup属性值进行配置,默认是True,所以用户可以对我们应用程序进行数据备份。
java 腾讯 阿里 华为 平安面试题 112道
07-28
### Java核心知识点详解 #### 一、面向对象的四大...以上是关于Java中的一些核心概念和技术点的详细介绍,这些知识点不仅对于准备腾讯、阿里、华为、平安等大厂的面试非常有用,也是深入理解Java技术体系的重要基础。
2023最新版大厂面试真题
11-25
这份资料涵盖了百度、腾讯、阿里、华为、京东、美团、拼多多、携程、蚂蚁金服、唯品会、字节跳动、阿里云和哔哩哔哩(B站)等多家知名企业的面试题目。 首先,我们要明白这些大厂在面试时通常关注哪些方面: 1. ...
2020精选50面试题及答案.rar
07-10
这份名为"2020精选50面试题及答案.rar"的压缩包文件,汇聚了2020各大知名互联网公司,如阿里巴巴、百度、滴滴出行、华为、京东、腾讯字节跳动、美团和中兴的面试题目及对应答案。这是一份非常宝贵的资料,对于...
电话面试题华为/中兴/腾讯
08-18
电话面试是许多IT公司,如华为、中兴和腾讯,筛选候选人的常见方式。这种面试形式主要测试候选人的基础知识、技术能力以及适应性。以下是一些可能会在电话面试中出现的Java、J2EE基础、数据库相关、操作系统和其他...
Android开发自动生成的AndroidManifest.xml中的allowBackup属性的含义和危险性实例讲解
知行合一
09-26 988
一、前言 今天在开发的过程中遇到一个问题,就是关于AndroidManifest.xml中的allowBackup属性,也算是自己之前对这个属性的不了解,加上IDE的自动生成代码,没太注意这个属性,但是没...
Android中的allowBackup属性
最新发布
HWHXY的博客
01-09 208
这个属性的安全风险源自于adb backup 命令允许任何一个能够打开USB调试开关的人从Android手机复制应用设备到外设。可以通过adb backup和adb restore 备份和恢复应用程序数据。
检测Android APK备份数据是否开启
weixin_30410119的博客
03-14 643
目录 漏洞危害 使用工具检测 检测步骤 漏洞利用 漏洞危害 我感觉说这个功能是漏洞有点牵强,先看看APK备份数据的功能是怎么来的,Android 从 API Level 8开始就提供了为APK应用程序备份和恢复数据的功能,此功能的开关可以通过应用程序中Android...
180931 安卓-adb backup的利用
whklhhhh的博客
09-02 3629
之前看到过当apk中忘记将allowBackup=”true”删掉或者改成”false”时,会产生一个相当于文件dump的漏洞,而且无需root权限 基本上也算老生常谈了,这个权限引发的问题应该很久了 利用方法是通过”adb backup”指令将应用数据备份出来,然后一方面可以在PC端进行解包分析数据,另一方面可以直接restore到别的机器上,造成“一些有缓存的应用无需登录即可盗用他人账号”...
Android 安全(一)》AndroidManifest.xml之allowBackup属性
AndroidKt
12-29 1081
前言 " android:allowBackup"是一个是否允许备份系统和用户数据的属性。 当这个标志被设置为true时应用程序数据可以在手机未获取 ROOT 的情况下通过adb调试工具来备份和恢复。 案例分析 从应用商城里下载一个“密码本”之类的应用。 1. 使用AndroidStudio分析应用 “Build” 》“Analyze APK…”,选择对应的应用进行分析,关注包名和allowBac...
[车联网安全自学篇] Android安全之AndroidallowBackup属性浅析「含案例实验」
橙留香Park的博客
12-26 1052
Android关于AndroidManifest.xml中的allowBackup属性是是否允许用户备份或者恢复数据,而开发者在使用IDE工具开发的时候自动生成代码,而这个属性的值会被设置成true,会直接导致隐私数据的丢失Android 6.0之前Backup功能只有键值对备份(Key-value Backup)一种模式,且allowBackup属性默认为falseAndroid 6.0之后allowBackup属性默认为true。
2020一线大厂面试题重点集锦
资源摘要信息:"2020最新整理一线大厂面试题合集(重点看)" 在当今职场竞争激烈的环境中,面试已经成为衡量求职者能力与潜力的重要环节。一线大厂因其在行业内的领先地位,对求职者的综合能力要求尤为严格。2020最新...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值