Android 数据越权备份风险

最新推荐文章于 2024-06-12 14:38:19 发布
最新推荐文章于 2024-06-12 14:38:19 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: Android 文章标签: Android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014343528/article/details/79492666
版权

威胁描述:
Android API Level 8及以上Android系统提供了为应用程序数据的备份和恢复功能,该功能由AndroidMainfest.xml文件中的allowBackup属性值控制,其默认值为true。当该属性没有显式的设置为false时,攻击者可以通过adb backup对应用数据进行备份,通过adb restore对备份的数据进行恢复,从而窃取明文存储的敏感信息,如用户名、账号、密码、手机号码等。

结果描述:
该应用AndroidMainfest.xml文件中的allowBackup属性值为true,存在数据越权备份的风险。

解决方案:
将AndroidMainfest.xml文件中的allowBackup属性值设置为false来关闭应用程序的备份和恢复功能;或者使用专业安全加固方案的本地数据保护功能,避免本地数据泄露。

<application
        android:allowBackup="false"
        android:icon="@mipmap/ic_launcher"
        android:label="@string/app_name"
        android:roundIcon="@mipmap/ic_launcher_round"
        android:supportsRtl="true"
        android:theme="@style/Theme.AppCompat.NoActionBar">
        <activity android:name=".MainActivity">
            <intent-filter>
                ...
            </intent-filter>
        </activity>
    </application>
Damon_Hmz
关注
专栏目录
Android应用安全测试用例
武天旭的博客
12-09 1193
前言 自从写了移动安全专栏,经常有小伙伴问有没有APP安全测试用例(俗称checklist),这个当然是有的啦!只是博主觉得测试用例这个东西,属于最基本的常识,就不在这里写了。另外,如果真的从内向外懂移动安全技术的话,测试用例这东西也就是一个自然而然的东西。
Android应用安全检测项目
苛学加记事
07-08 6941
Android应用安全检测项目 使用静态检测引擎对APK文件进行反编译,扫描反编译后的代码文件即可发现应用的安全漏洞。 一般有以下内容,比较有参考价值,部分是平时编码时有可能忽略的问题,在此整理供大家参考。 1. 基础信息 1.1 权限过度声明风险检测 检测应用中是否存在权限滥用情况。 权限是一种安全机制,主要用于限制应用程序内部某些具有限制性特性的功能使用以及应用程序之间的组件访问。Android通过在AndroidManifest.xml中增加权限来控制限制性功能的使用和组件访问。权限滥用是指应用权限开
Android数据备份Android Data Backup
DerWeltraum
05-15 1万+
最近我在阅读Android Developer上的文章,本文是对其中一篇Data Backup的翻译。希望可以通过翻译英文技术文章提高自己阅读英文文档的水平,如果有不妥的地方,希望指出,谢谢~
视频流媒体服务器在幼儿园移动监控APP中显示“数据任意备份风险”提示问题解决
AI与流媒体视频技术
06-18 362
在校园使用安防视频流媒体服务器目前来说是非常必要的,把传统分散的校园监控汇总到EasyNVR系统,实现把传统的本地监控提升到随时随地的远程监控,把传统的纯粹的监控上升到管理,使视频监控成为学校教学管理的有力工具。更重要的是让家长一起参与,提升教学的主动性,提升学校声誉和学校品牌。 安防视频流媒体服务器EasyNVR目前也已经运用到了一些幼儿园移动监控项目中,此项目开发了安卓APP,但是偶尔会出现软件存在“数据任意备份风险”的提示。 出现这个提示的原因,是因为在AndroidManifest.xml配
网安过关斩将篇之-数据备份配置风险
jhonjson的博客
10-22 217
风险描述:在APP的AndroidManifest.xml文件中配置 allowBackup 标志(默认为 true )来设置应用数据是否能够被备份或恢复。当这个标志被设置为true时应用程序数据可以在手机未获取 ROOT 的情况下通过adb调试工具来备份和恢复。在接触用户手机的情况下攻击者可以在启动手机USB调试功能来窃取那些能够受到AllowBackup漏洞影响的APP数据,造成用户敏感信息泄露甚至财产损失。 解决方式: AndroidManifest.xml中 android:allowBackup=
allowbackup的作用
热门推荐
隔壁小王的博客
06-01 2万+
今天阴差阳错查了一下application中allowbackup属性的作用,看了大吃一惊,allowbackup是一个是否允许备份系统和用户数据的属性,应因此而引发Android的安全性问题。漏洞案例 先来看一个情景案例,某IT男一直暗恋部门某女神,一天女神手机太卡了找IT男帮助清理手机空间,IT 男高兴地答应女神两分钟搞定,屁颠屁颠的跑到自己电脑旁边连上手机,女神在一边呆呆的看着IT男敲了几
Android5.1.1实现备份应用数据功能
LEAD_SOLO的专栏
12-08 3796
Android5.1.1实现备份应用数据功能 首先先来几个知识点,Android各个应用数据的隔离实际上是通过不同的UID来区别的。UID分配过程不在本文详解。应用安装时会在/data/data/目录下以包名为目录名,创建一个目录,并且分配权限为751,并分配对应的用户与用户组,这就导致了,要想读取某个应用的应用数据,就应该需要这个应用的uid或者gid,如果要对这个目录进行写的话,则需要ui
Android完整备份备份Android手机上所有内容的 4 种最佳方法
最新发布
Coolmuster的博客
06-12 1722
Coolmuster Android Assistant 和 Coolmuster Android Backup Manager 在数据备份方面表现出色,提供了一键备份和恢复的功能,操作简便且高效。是一款功能强大的软件,支持备份Android设备上的各种文件,如联系人、短信、通话记录、多媒体文件和应用程序等。如果你希望在不root手机的情况下备份Android,可以使用ADB备份工具。选择合适的方法,确保你的数据安全。我们可以使用云服务,如华为云、小米云或者百度云等,来备份Android手机上的数据
Android数据及编码安全几点常用操作
Android 值得拥有
01-05 400
app常用的一些设置里就包含了涉及到数据及源码安全的地方,下面我们来看看最常用的几点: 1、allowBackup数据备份泄露 manifest文件中在application节点下有个属性是allowBackup,这个估计大家对它很面熟,具体的作用就是是否允许为其app数据备份,如果设置为true并且本地数据没有任何加密,那就会有暴露的风险,一般情况下最好设置为false; 2、Broadcast Receiver广播组件导出风险 Broadcast Receiver作为组成Apk的四个组件之一,
移动端数据防泄露技术.pdf
02-24
它需要关注越权访问、硬件越权、敏感数据保护、接口签名等一系列安全问题,同时也要关注薅羊毛、内部APP、拒绝服务、挑战应答、反作弊等潜在风险,以及外部APP可能导致的信息泄露问题。 在移动端的不同方面,BYOD...
AntihijackUtil:Android 安全之 Activity 劫持防护
05-01
什么是 Activity 劫持 Android 为了提高用户的用户体验,对于不同的应用程序之间的切换,基本上是无缝。举一个例子,用户打开安卓手机上的某一应用例如支付宝,进入到登陆页面,这时恶意软件检测到用户的这一动作,立即弹出一个与支付宝界面相同的 Activity,覆盖掉了合法的 Activity,用户几乎无法察觉,该用户接下来输入用户名和密码的操作其实是在恶意软件的 Activity上进行的,接下来会发生什么就可想而知了。具体关于 Activity 劫持原理可以参考如下这篇文章: 阿里聚安全旗下产品安全组件 SDK 具有安全签名、安全加密、安全存储、模拟器检测、反调试、反注入、反 Activity 劫持等功能。 开发者只需要简单集成安全组件 SDK 就可以有效解决上述登录窗口被木马病毒劫持的问题,从而帮助用户和企业减少损失。 防护手段 目前,还没有什么专门针对 Activity 劫持的
Android开发常见安全漏洞总结
Sander Lee
04-24 5464
目录WebView组件远程代码执行漏洞addJavascriptInterface接口解决方案searchBoxJavaBridge_接口解决方案accessibility 和 accessibilityTraversal解决方案WebView跨域访问漏洞解决方案WebView组件忽略SSL证书验证错误漏洞解决方案WebView密码明文保存漏洞解决方案本地端口开放越权风险解决方案Content P...
详解Android App AllowBackup配置带来的风险
forlong401的专栏--有问题上:http://www.androidren.com
03-13 6045
http://www.91ri.org/12500.html 详解Android App AllowBackup配置带来的风险 前言 笔者在使用自己编写的 Drozer 模块对国内流行的安卓手机应用进行自动化扫描后发现有大量涉及用户财产和隐私的流行安卓应用存在 Android AllowBackup 漏洞,已测试成功受到漏洞影响的应用包括:新浪微博,百度云网盘,美团,
Android静态安全检查(三):允许备份检测
不忘初心的专栏
07-08 899
应用允许备份漏洞Android应用的Manifest.xml的Application标签下的allowBackup属性决定当前的应用程序可不可以备份,如果可以备份,则可能导致应用的敏感信息泄露。如果当前的应用程序确实需要备份功能,就必须明确的指定backupAgent属性,那么当备份的时候,会使用你指定的类来备份,第三方的外部程序就无法通过备份来窃取你的数据。检测方法如果一个应用程序的Androi...
android安全测评修复小记(备用)
baidu_36583608的博客
09-28 1898
以下权限非需要不声明使用CAMERA:访问相机READ_EXTERNAL_STORAGE:读取SD卡上的内容WRITE_EXTERNAL_STORAGE:修改/删除SD卡中的内容RECORD_AUDIO:录音READ_CONTACTS:读取联系人数据
Android应用安全解决方案
Android技术之家
04-03 1402
前言 防止第三方反编译篡改应用,防止数据隐私泄露,防止二次打包欺骗用户。1、一些必要的基础知识 我们在加密的时候会用到一些加密或者编码方法。常见的有,非对称加密算法 RSA 等;对称加密算法 DES、3DES 和 AES 等;不可逆的加密 MD5、SHA256 等。另外,我们会把重要的加密逻辑放到 Native 层来实现,所以一些 JNI 编程的方法也是需要的。不...
安卓开发安全问题
01234567890
10-31 808
1. 组件暴露——Activity,Service,BroadcastReceiver说明: 当应用程序的组件被导出后,导出的组件可以被第三方app任意调用,从而导致敏感信息泄露,而且恶意攻击者也可以通过精心构造数据来达到攻击目标应用的的目的。 修复:如果组件不需要与其他应用共享数据或进行交互,则在AndroidManifest.xml文件中设置该组件为 exported = “false”
android app安全提醒,Android app安全问题设置
weixin_28813763的博客
05-28 575
1.应用数据任意备份风险Android 2.1 以上的系统可为 App 提供应用程序数据备份和恢复功能,该 由 AndroidMainfest.xml 文件中的 allowBackup 属性值控制,其默认值为 true。当该属性没有显式设置为 false 时,攻击者可通过 adb backup 和 adb restore 对 App 的应用数据进行备份和恢复,从而可能获取明文存储的用户敏 感信息...
2022年中国数据安全风险与应对策略研究报告
数据权限分配不透明,可能引发越权访问和数据滥用;API接口因广泛应用成为攻击者的目标;以及数据安全的持续性难以维持,复杂的应用环境和管理技术的脱节使得数据安全状态难以保障。 针对这些问题,报告提出了数据...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值