在application中有个allowbackup属性,抱着好奇的心态上网查了一下,比较惊讶,allowbackup允许手机在未root的情况下备份系统和用户的属性。因此存在一定的安全隐患。
背景
在谷歌 2010 年发布 Android 2.2 Froyo
(冻酸奶)系统中,谷歌引入一个了系统备份的功能,允许用户备份系统应用和第三方应用的apk安装包和应用数据,以便在刷机或者数据丢失后恢复应用。
第三方应用开发者需要在应用的 AndroidManifest.xml 文件中配置 allowBackup 标志(默认为 true)来设置应用数据是否能能够被备份或恢复。当这个标志被设置为true时应用程序数据可以在手机未获取 ROOT
的情况下通过adb调试工具来备份和恢复,这就允许恶意攻击者在接触用户手机的情况下在短时间内启动手机 USB 调试功能来窃取那些能够受到
代码
android:allowBackup=“true”
adb backup packageName
adb restore backup.ab