Android应用开发allowBackup敏感信息泄露的一点反思

最新推荐文章于 2024-06-13 14:21:23 发布
最新推荐文章于 2024-06-13 14:21:23 发布
阅读量1k 收藏 20
点赞数 27
分类专栏: Android程序员 文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60452141/article/details/136751016
版权

XXX@ThinkPad:~/workspace/myself/temp$ adb backup -f back.ab -noapk com.jianshu.haruki

Now unlock your device and confirm the backup operation.

此时换一台设备B安装此应用,但是不登陆任何帐号密码,执行如下命令:

XXX@ThinkPad:~/workspace/myself/temp$ adb restore back.ab

Now unlock your device and confirm the restore operation.

可以看见,设备B没有进行帐号密码登陆,只是通过恢复A设备的备份数据就成功登陆了A设备的信息。

《Sina微博》Android 5.1.0版本测试

按照上面的类似流程测试微薄发现在设备B上面恢复设备A的数据无效,设备B依旧显示如下:

这里写图片描述

也就是说Sina微博考虑的很周全,已经修复了此类潜在的泄露风险,备份数据恢复无效,依旧需要重新登陆才可以,给一个赞。

《薄荷》Android 5.4.5.1版本测试

这个应用依据上面类似操作后你会发现完全可以在设备B上不用登陆帐号,只用恢复别人的备份帐号信息即可进入别人帐号界面,如下:

这里写图片描述

上面为设备B上截图情况,直接可以在设备B上操作设备A的帐号。

3 反思与总结

===========

【工匠若水 http://blog.csdn.net/yanbober 转载烦请注明出处,尊重劳动成果】

看了上面两部分的叙述以后你可能也会意识到这个问题潜在的严重性,Google的初心是好的,但是一旦被别有用心的人瞄上了这个突破点问题就严重了。譬如再高端一点,别有用心的人专门写一段代码去执行数据备份上传到自己的云端服务器,然后解析这些备份数据,小则个人信息泄露,大则哈哈,你懂的。

既然这样肯定你也会关心解决方案吧,具体解决比较容易,如下:

方案1:

直接在你的Android清单文件中设置android:allowBackup=”false”即可,如下:

<?xml version="1.0" encoding="utf-8"?>

<manifest xmlns:android=“http://schemas.android.com/apk/res/android”

package=“com.test.disallowbackup”

android:versionCode=“1”

android:versionName=“1.0”>

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数初中级安卓工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年最新Android移动开发全套学习资料》送给大家,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
img
img
img
img

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频
如果你觉得这些内容对你有帮助,可以添加下面V无偿领取!(备注Android)
img

尾声

如果你想成为一个优秀的 Android 开发人员,请集中精力,对基础和重要的事情做深度研究。

对于很多初中级Android工程师而言,想要提升技能,往往是自己摸索成长,不成体系的学习效果低效漫长且无助。 整理的这些架构技术希望对Android开发的朋友们有所参考以及少走弯路,本文的重点是你有没有收获与成长,其余的都不重要,希望读者们能谨记这一点。

这里,笔者分享一份从架构哲学的层面来剖析的视频及资料分享给大家梳理了多年的架构经验,筹备近6个月最新录制的,相信这份视频能给你带来不一样的启发、收获。

Android进阶学习资料库

一共十个专题,包括了Android进阶所有学习资料,Android进阶视频,Flutter,java基础,kotlin,NDK模块,计算机网络,数据结构与算法,微信小程序,面试题解析,framework源码!

大厂面试真题

PS:之前因为秋招收集的二十套一二线互联网公司Android面试真题 (含BAT、小米、华为、美团、滴滴)和我自己整理Android复习笔记(包含Android基础知识点、Android扩展知识点、Android源码解析、设计模式汇总、Gradle知识点、常见算法题汇总。)

《2019-2021字节跳动Android面试历年真题解析》

领取链接:【GitHub】**

前端收割机
关注
  • 27
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2024年安卓最全Android应用开发allowBackup敏感信息泄露一点反思,腾讯&字节&网易&华为Android面试题分享
2401_84520215的博客
05-06 888
给大家分享一份移动架构大纲,包含了移动架构师需要掌握的所有的技术体系,大家可以对比一下自己不足或者欠缺的地方有方向的去学习提升;网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。需要这份系统化学习资料的朋友,可以戳这里获取一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
Android应用开发allowBackup敏感信息泄露一点反思,2024年最新大厂Android面试笔试题目
weixin_58152093的博客
03-25 904
我见过很多技术leader在面试的时候,遇到处于迷茫期的大龄程序员,比面试官年龄都大。这些人有一些共同特征:可能工作了7、8年,还是每天重复给业务部门写代码,工作内容的重复性比较高,没有什么技术含量的工作。问到这些人的职业规划时,他们也没有太多想法。其实30岁到40岁是一个人职业发展的黄金阶段,一定要在业务范围内的扩张,技术广度和深度提升上有自己的计划,才有助于在职业发展上有持续的发展路径,而不至于停滞不前。不断奔跑,你就知道学习的意义所在!
Android应用开发-购物信息存储界面开发.pptx
12-10
Android应用开发
Android应用开发-查询购物信息界面开发.pptx
12-10
Android应用开发
Android手机应用开发信息平台移动客户端.pdf
09-21
Android手机应用开发信息平台移动客户端.pdf
Android应用开发,完整扫描版
02-04
Android应用开发》通过丰富而翔实的实例展示了在Android平台下开发手机应用软件所必需的概念和技术。书中不仅对Android应用程序的开发环境和调试方法进行了详细介绍,而且对Android软件开发的一些关键技术和API...
Android应用开发
06-10
Android应用开发》通过丰富而翔实的实例展示了在Android平台下开发手机应用软件所必需的概念和技术。书中不仅对Android应用程序的开发环境和调试方法进行了详细介绍,而且对Android软件开发的一些关键技术和API...
【MySQL】服务器配置和管理
p_fly的博客
06-09 706
MySQL服务器通常说的是mysqld程序。mysqld 是 MySQL 数据库服务器的核心程序,负责处理客户端的请求、管理数据库和执行数据库操作。管理员可以通过配置文件和各种工具来管理和监控 mysqld 服务器的运行本文将介绍下面三个内容:服务器启动选项:可以在命令行和配置文件中指定,用于配置服务器的行为和特性。服务器系统变量:反映了启动选项的当前状态和值,其中一些变量可以在服务器运行时修改。服务器状态变量:包含了关于运行时操作的计数器和统计信息
Android 11】AOSP Settings添加屏幕旋转按钮
xuanyulevel6的博客
06-13 238
这里是客户要求添加按钮以实现屏幕旋转。这里的值可以是0,1,2,3 的任意一个。我这里没有陀螺仪,所以只需要这个命令就够了。更多的可以参考但是这有个缺陷,就是开机的动画不能随着设置好的屏幕方向旋转。
Android WebSocket长连接的实现
Billy_Zuo的博客
06-12 1214
WebSocket 协议在2008年诞生,2011年成为国际标准。所有浏览器都已经支持了。它的最大特点就是,服务器可以主动向客户端推送信息,客户端也可以主动向服务器发送信息,是真正的双向平等对话,属于[“服务器推送技术”]的一种。WebSocket的特点包括:建立在 TCP 协议之上,服务器端的实现比较容易。与 HTTP 协议有着良好的兼容性。默认端口也是80和443,并且握手阶段采用 HTTP 协议,因此握手时不容易屏蔽,能通过各种 HTTP 代理服务器。支持双向通信,实时性更强。
Android AOSP定制去掉Google搜索栏
u012556114的博客
06-10 785
AOSP 概览Android 是适用于各种不同规格设备的操作系统。任何人都可以通过 Android 开源项目 (AOSP) 查看 Android 的文档和源代码。您可以使用 AOSP 为自己的设备创建自定义 Android OS 变体。AOSP 的设计可确保不存在一个集中瓶颈,即没有任何行业参与者可一手限制或控制其他参与者的创新。因此,AOSP 是一款功能完善且达到生产质量的开发者产品,其源代码可以开放自定义和移植。
android OTA升级之后,apk崩溃无法启动
最新发布
kevin's cache的专栏
06-13 332
也就是说,我们这个高低版本是fingerprint相同的情况,这个问题追述到jenkins编译,启动job时会初始化一个BUILD_NUMBER值,这个值正好跟Android的build系统的名称重复,这就导致Android build系统那一套拼接时间戳的值不会走,因为jenkins一启动就会定义该值,而我们jenkins服务器迁移过,这个值又会从1开始累计,导致前后版本都是16,从而导致fingerprint一致。问题背景:系统版本从低版本升级到高版本后,apk崩溃启动失败。硬件平台:QCS6125。
Android本地Gradle Plugin的创建以及使用
龙叔的专栏
06-12 182
2.新建一个module 取名叫buildSrc(注意,一定要叫这个名字,而且在setting.gradle中不要include这个Moudle,gradle会自动引入)有些Gradle插件,不想放到云端,本来也只是小功能而已,还放到云端,每次修改和发布都很麻烦,这种需求的插件放到本地还是合适的。使用就是在build.gradle中,正常使用插件。1.直接放到build.gradle。
C#操作MySQL从入门到精通(16)——使用子查询
qq_34059233的博客
06-09 112
我们在查询数据的过程中有时候查询的数据不是从数据库中来的,而是从另一个查询的结果来的,这时候就需要使用子查询,本文进行详细介绍!
Android基础-进程间通信
层楼终究误少年
06-08 830
Android系统中,跨进程通信(IPC,Inter-Process Communication)是实现不同应用程序或同一应用程序中不同进程间数据共享和交互的关键技术。Android提供了多种IPC机制,每种机制都有其特定的使用场景和优缺点。下面将详细阐述Android中跨进程通信的几种主要方式。
Android RadioButton+GridLayout实现多行多列的单选效果
Mero技术博客
06-10 282
记录下实现过程,因为最近项目里要用到。我们都知道默认的RadioGroup+RadioButton是不能实现轻松换行的。如果每行使用一个RadioGroup来包裹RadioButton的话。其中的选择监听是个非常麻烦的事情。那么今天记录下RadioButton+GridLayout。接着在activity中,添加下面的代码就可以了。要几个就加几个,不一定单行得满,比如3+2个也可以,3+3个也可以。首先xml布局中添加一个GridLayout控件。
AndroidAndroid系统性学习——Android系统架构
xuanyulevel6的博客
06-12 582
部分内容参考《Android进阶解密》 – 刘望舒。
Android基础-HIDL详述
层楼终究误少年
06-10 691
HIDL,全称Hardware Interface Definition Language,是一种用于指定硬件抽象层(HAL)与其用户之间接口的描述性语言。HIDL允许开发者以标准化的方式定义硬件接口,从而确保在不同版本的Android系统和不同硬件平台上的兼容性。HIDL的目标是使Android系统能够在不重新编译HAL的情况下,通过OTA(Over-the-Air)方式对框架进行升级。
android 应用开发揭秘
02-05
Android应用开发是构建适用于Android操作系统的移动应用程序的过程。以下是关于Android应用开发的一些揭秘: 首先,开发人员需要了解Android操作系统的基本原理和架构。Android操作系统是基于Linux内核构建的,包括...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值