Android 数据越权备份风险

最新推荐文章于 2024-06-12 14:38:19 发布
最新推荐文章于 2024-06-12 14:38:19 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: Android 文章标签: Android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014343528/article/details/79492666
版权

威胁描述:
Android API Level 8及以上Android系统提供了为应用程序数据的备份和恢复功能,该功能由AndroidMainfest.xml文件中的allowBackup属性值控制,其默认值为true。当该属性没有显式的设置为false时,攻击者可以通过adb backup对应用数据进行备份,通过adb restore对备份的数据进行恢复,从而窃取明文存储的敏感信息,如用户名、账号、密码、手机号码等。

结果描述:
该应用AndroidMainfest.xml文件中的allowBackup属性值为true,存在数据越权备份的风险。

解决方案:
将AndroidMainfest.xml文件中的allowBackup属性值设置为false来关闭应用程序的备份和恢复功能;或者使用专业安全加固方案的本地数据保护功能,避免本地数据泄露。

<application
        android:allowBackup="false"
        android:icon="@mipmap/ic_launcher"
        android:label="@string/app_name"
        android:roundIcon="@mipmap/ic_launcher_round"
        android:supportsRtl="true"
        android:theme="@style/Theme.AppCompat.NoActionBar">
        <activity android:name=".MainActivity">
            <intent-filter>
                ...
            </intent-filter>
        </activity>
    </application>
Android应用安全测试用例
武天旭的博客
12-09 1260
前言 自从写了移动安全专栏,经常有小伙伴问有没有APP安全测试用例(俗称checklist),这个当然是有的啦!只是博主觉得测试用例这个东西,属于最基本的常识,就不在这里写了。另外,如果真的从内向外懂移动安全技术的话,测试用例这东西也就是一个自然而然的东西。
Android开发常见安全漏洞总结
Sander Lee
04-24 5497
目录WebView组件远程代码执行漏洞addJavascriptInterface接口解决方案searchBoxJavaBridge_接口解决方案accessibility 和 accessibilityTraversal解决方案WebView跨域访问漏洞解决方案WebView组件忽略SSL证书验证错误漏洞解决方案WebView密码明文保存漏洞解决方案本地端口开放越权风险解决方案Content P...
详解Android App AllowBackup配置带来的风险
forlong401的专栏--有问题上:http://www.androidren.com
03-13 6067
http://www.91ri.org/12500.html 详解Android App AllowBackup配置带来的风险 前言 笔者在使用自己编写的 Drozer 模块对国内流行的安卓手机应用进行自动化扫描后发现有大量涉及用户财产和隐私的流行安卓应用存在 Android AllowBackup 漏洞,已测试成功受到漏洞影响的应用包括:新浪微博,百度云网盘,美团,
视频流媒体服务器在幼儿园移动监控APP中显示“数据任意备份风险”提示问题解决
AI与流媒体视频技术
06-18 374
在校园使用安防视频流媒体服务器目前来说是非常必要的,把传统分散的校园监控汇总到EasyNVR系统,实现把传统的本地监控提升到随时随地的远程监控,把传统的纯粹的监控上升到管理,使视频监控成为学校教学管理的有力工具。更重要的是让家长一起参与,提升教学的主动性,提升学校声誉和学校品牌。 安防视频流媒体服务器EasyNVR目前也已经运用到了一些幼儿园移动监控项目中,此项目开发了安卓APP,但是偶尔会出现软件存在“数据任意备份风险”的提示。 出现这个提示的原因,是因为在AndroidManifest.xml配
网安过关斩将篇之-数据备份配置风险
jhonjson的博客
10-22 237
风险描述:在APP的AndroidManifest.xml文件中配置 allowBackup 标志(默认为 true )来设置应用数据是否能够被备份或恢复。当这个标志被设置为true时应用程序数据可以在手机未获取 ROOT 的情况下通过adb调试工具来备份和恢复。在接触用户手机的情况下攻击者可以在启动手机USB调试功能来窃取那些能够受到AllowBackup漏洞影响的APP数据,造成用户敏感信息泄露甚至财产损失。 解决方式: AndroidManifest.xml中 android:allowBackup=
allowbackup的作用
热门推荐
隔壁小王的博客
06-01 2万+
今天阴差阳错查了一下application中allowbackup属性的作用,看了大吃一惊,allowbackup是一个是否允许备份系统和用户数据的属性,应因此而引发Android的安全性问题。漏洞案例 先来看一个情景案例,某IT男一直暗恋部门某女神,一天女神手机太卡了找IT男帮助清理手机空间,IT 男高兴地答应女神两分钟搞定,屁颠屁颠的跑到自己电脑旁边连上手机,女神在一边呆呆的看着IT男敲了几
Android5.1.1实现备份应用数据功能
LEAD_SOLO的专栏
12-08 3817
Android5.1.1实现备份应用数据功能 首先先来几个知识点,Android各个应用数据的隔离实际上是通过不同的UID来区别的。UID分配过程不在本文详解。应用安装时会在/data/data/目录下以包名为目录名,创建一个目录,并且分配权限为751,并分配对应的用户与用户组,这就导致了,要想读取某个应用的应用数据,就应该需要这个应用的uid或者gid,如果要对这个目录进行写的话,则需要ui
Android完整备份备份Android手机数据的4种最佳方法
Coolmuster的博客
06-06 1万+
如今,人们每天都依赖手机,丢失数据对我们所有人来说都是一个大麻烦。由于生活是不可预测的,没有人知道什么时候他的数据可能会被意外删除或丢失。因此,仔细备份手机数据非常重要。大多数主要智能手机平台都具有将数据备份到计算机或互联网的功能。不过,如果你想自动创建Android完整备份,你仍然需要一些软件来实现。在这篇文章中,我将分享完整备份Android手机的最佳方法。
Android数据及编码安全几点常用操作
Android 值得拥有
01-05 418
app常用的一些设置里就包含了涉及到数据及源码安全的地方,下面我们来看看最常用的几点: 1、allowBackup数据备份泄露 manifest文件中在application节点下有个属性是allowBackup,这个估计大家对它很面熟,具体的作用就是是否允许为其app数据备份,如果设置为true并且本地数据没有任何加密,那就会有暴露的风险,一般情况下最好设置为false; 2、Broadcast Receiver广播组件导出风险 Broadcast Receiver作为组成Apk的四个组件之一,
Android应用安全检测项目
苛学加记事
07-08 7117
Android应用安全检测项目 使用静态检测引擎对APK文件进行反编译,扫描反编译后的代码文件即可发现应用的安全漏洞。 一般有以下内容,比较有参考价值,部分是平时编码时有可能忽略的问题,在此整理供大家参考。 1. 基础信息 1.1 权限过度声明风险检测 检测应用中是否存在权限滥用情况。 权限是一种安全机制,主要用于限制应用程序内部某些具有限制性特性的功能使用以及应用程序之间的组件访问。Android通过在AndroidManifest.xml中增加权限来控制限制性功能的使用和组件访问。权限滥用是指应用权限开
移动端数据防泄露技术.pdf
02-24
它需要关注越权访问、硬件越权、敏感数据保护、接口签名等一系列安全问题,同时也要关注薅羊毛、内部APP、拒绝服务、挑战应答、反作弊等潜在风险,以及外部APP可能导致的信息泄露问题。 在移动端的不同方面,BYOD...
ActivityFuzzer:检测Android Activity组件的安全漏洞
03-01
ActivityFuzzer:检测Android Activity组件的安全漏洞
Android应用Bug报告组件
04-04
这个是一个不错的开源的Android应用Bug报告组件,源码telescope,Telescope是一款开源的Bug报告组件,能够很容易报告捕捉到的Android应用Bug。
AntihijackUtil:Android 安全之 Activity 劫持防护
05-01
什么是 Activity 劫持 Android 为了提高用户的用户体验,对于不同的应用程序之间的切换,基本上是无缝。举一个例子,用户打开安卓手机上的某一应用例如支付宝,进入到登陆页面,这时恶意软件检测到用户的这一动作,立即弹出一个与支付宝界面相同的 Activity,覆盖掉了合法的 Activity,用户几乎无法察觉,该用户接下来输入用户名和密码的操作其实是在恶意软件的 Activity上进行的,接下来会发生什么就可想而知了。具体关于 Activity 劫持原理可以参考如下这篇文章: 阿里聚安全旗下产品安全组件 SDK 具有安全签名、安全加密、安全存储、模拟器检测、反调试、反注入、反 Activity 劫持等功能。 开发者只需要简单集成安全组件 SDK 就可以有效解决上述登录窗口被木马病毒劫持的问题,从而帮助用户和企业减少损失。 防护手段 目前,还没有什么专门针对 Activity 劫持的
Android完整备份备份Android手机上所有内容的 4 种最佳方法
最新发布
Coolmuster的博客
06-12 2231
Coolmuster Android Assistant 和 Coolmuster Android Backup Manager 在数据备份方面表现出色,提供了一键备份和恢复的功能,操作简便且高效。是一款功能强大的软件,支持备份Android设备上的各种文件,如联系人、短信、通话记录、多媒体文件和应用程序等。如果你希望在不root手机的情况下备份Android,可以使用ADB备份工具。选择合适的方法,确保你的数据安全。我们可以使用云服务,如华为云、小米云或者百度云等,来备份Android手机上的数据
Android静态安全检查(三):允许备份检测
不忘初心的专栏
07-08 928
应用允许备份漏洞Android应用的Manifest.xml的Application标签下的allowBackup属性决定当前的应用程序可不可以备份,如果可以备份,则可能导致应用的敏感信息泄露。如果当前的应用程序确实需要备份功能,就必须明确的指定backupAgent属性,那么当备份的时候,会使用你指定的类来备份,第三方的外部程序就无法通过备份来窃取你的数据。检测方法如果一个应用程序的Androi...
安卓开发安全问题
01234567890
10-31 835
1. 组件暴露——Activity,Service,BroadcastReceiver说明: 当应用程序的组件被导出后,导出的组件可以被第三方app任意调用,从而导致敏感信息泄露,而且恶意攻击者也可以通过精心构造数据来达到攻击目标应用的的目的。 修复:如果组件不需要与其他应用共享数据或进行交互,则在AndroidManifest.xml文件中设置该组件为 exported = “false”
android app安全提醒,Android app安全问题设置
weixin_28813763的博客
05-28 590
1.应用数据任意备份风险Android 2.1 以上的系统可为 App 提供应用程序数据备份和恢复功能,该 由 AndroidMainfest.xml 文件中的 allowBackup 属性值控制,其默认值为 true。当该属性没有显式设置为 false 时,攻击者可通过 adb backup 和 adb restore 对 App 的应用数据进行备份和恢复,从而可能获取明文存储的用户敏 感信息...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值