AndroidManifest allowBackup配置风险

最新推荐文章于 2024-05-17 18:16:45 发布
最新推荐文章于 2024-05-17 18:16:45 发布
阅读量599 收藏
点赞数
分类专栏: # APP-Android 文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xundh/article/details/53255892
版权

背景

2012年Android 2.2 Froyo系统中,谷歌引入了系统备份的功能,允许用户备份系统应用和第三方应用的APK安装包和应用数据。
第三方应用需要在AndroidManifest.xml中配置allowBackup(默认true)。

当这个标志被设置为true时,应用程序数据可以在手机未root的情况下,通过adb调试工具来备份和恢复,因此攻击者可以利用这个漏洞在接触用户手机的情况下短时间启动手机USB调试功能来窃取受此漏洞影响 数据。

检测

  • 手机启动USB调试,连接手机1、手机2
  • PC连接手机(可能需要安装驱动)
  • 启动命令行输入:
adb devices
adb backup -nosystem -noshared -apk -f com.**.**.ab com.**.**

参数说明:-f 表示备份的.ab文件路径和文件

  • 点击手机1确认备份界面的“备份我的数据”
  • 备份完成,生成com...ab
  • 连接手机2,输入:
adb kill-server
adb devices
adb backup com.**.**.ab
  • 点击手机2确认“恢复我的数据”
  • 恢复完成
  • 打开手机2,可以正常登陆手机1应用的各种操作

修复建议

对于涉及以安全的APP,建议将allowBackup设置为false

    <application  android:allowBackup="false"
编程圈子
关注
专栏目录
Android allowBackup属性介绍&安全漏洞问题
ZhaoXiansen_的博客
07-16 676
allowBackup 是什么 AndroidManifest.xml 中配置allowBackups属性,创建应用程序默认是true 我们可以在Android应用程序中利用自动备份,以便用户在卸载手机后切换电话或重新安装我们的应用程序时,可以更快地恢复其数据。 如果用户以任何方式(包括通过设备的出厂重置)删除该应用程序,则当用户重新下载该应用程序并安装.apk时,该应用程序的数据仍将可用。 自动备份还可以在各种设备上使用,这意味着当您的用户使用新手机时,他们不会从您的应用中丢失关键信息。 allowBa
Android开发自动生成的AndroidManifest.xml中的allowBackup属性的含义和危险性实例讲解
wolfking0608的博客
12-13 1万+
一、前言 今天在开发的过程中遇到一个问题,就是关于AndroidManifest.xml中的allowBackup属性,也算是自己之前对这个属性的不了解,加上IDE的自动生成代码,没太注意这个属性,但是没想到这个属性会直接导致隐私数据的丢失。下面就来看一下这个属性的影响到底有多大。他的作用是什么? 二、Android中的allowBackup属性 1、allowBackup安全风
总结移动安全的测试点及详解allowbackup漏洞
weixin_30485799的博客
12-07 199
一、移动应用APP可能面临以下威胁: 木马--二次打包, 病毒--账号窃取, 篡改--资源篡改, 破解--广告植入, 钓鱼--信息劫持 二、移动终端APP安全评估的7个方向: 通信安全,敏感信息安全,认证鉴权,能力调用,资源访问,反逆向,键盘输入 三、对于自动化安全检测工具,完成APP安全检测与评估的思路如下: “地”:主要面向本地文件的漏洞进行攻击,检查Andr...
Android应用开发allowBackup敏感信息泄露的一点反思
2401_84104809的博客
04-11 1021
看到这篇文章的人不知道有多少是和我一样的Android程序员。35岁,这是我们这个行业普遍的失业高发阶段,这种情况下如果还不提升自己的技能,进阶发展,我想,很可能就是本行业的职业生涯的终点了。我们要有危机意识,切莫等到一切都成定局时才开始追悔莫及。只要有规划的,有系统地学习,进阶提升自己并不难,给自己多充一点电,你才能走的更远。千里之行始于足下。这是上小学时,那种一元钱一个的日记本上每一页下面都印刷有的一句话,当时只觉得这句话很短,后来渐渐长大才慢慢明白这句话的真正的含义。
Manifest queries标签 / targetAPI动态获取 / 手机 /包可见性
qq_42015021的博客
01-09 4809
如果您的应用以 Android 11(API 级别 30)或更高版本为目标平台,在默认情况下,系统会自动让部分应用对您的应用可见,但会隐藏其他应用。通过让部分应用在默认情况下不可见,系统可以了解应向您的应用显示哪些其他应用,这样有助于鼓励最小权限原则,还可帮助 Google Play 等应用商店评估应用为用户提供的隐私权和安全性。如果我们的应用运行在android11 或者更高版本的手机上,想要与自动可见的应用之外的应用交互,就要在manifest中添加queries标签。
Android-- 详解App AllowBackup配置带来的风险
Navan
05-30 1803
详解Android App AllowBackup配置带来的风险 前言 笔者在使用自己编写的 Drozer 模块对国内流行的安卓手机应用进行自动化扫描后发现有大量涉及用户财产和隐私的流行安卓应用存在 Android AllowBackup 漏洞,已测试成功受到漏洞影响的应用包括:新浪微博,百度云网盘,美团,大众点评,去哪儿等等。 漏洞案例 先来看一个情景案例,某IT
4.1 Android Studio中的AndroidManifest.xml文件分析
WillFlow的博客
06-26 7802
一、关于AndroidManifest.xmlAndroidManifest.xml清单文件是每个Android程序中必须的文件,它是整个Android程序的全局描述文件,除了能声明程序中的Activities,Content Providers,Services,和Intent Receivers,还能指定应用的名称、使用的图标、包含的组件以及permissions和instrumentation
android组件导出权限,AndroidManifest.xml中含盖的安全问题详解
weixin_30624185的博客
05-25 1368
AndroidManifest.xml中含盖的安全问题详解发布时间:2020-10-26 04:00:09来源:脚本之家阅读:102作者:samli0x00 关于AndroidManifest.xmlAndroidManifest.xml 是每个android程序中必须的文件。它位于整个项目的根目录,Manifest文件提供有关应用程序到Android系统的基本信息,系统必须具有该信息才能运行任何...
AndroidManifest.xml将SELinux禁用方法
最新发布
09-12
AndroidManifest.xml文件是Android应用程序的元数据配置文件,它定义了应用的基本信息以及权限、组件和服务等设置。如果你想要暂时禁用SELinux(Security Enhanced Linux,一种强制执行安全策略的安全模块),你需要...
AndroidManifest.xml中引入queries报错解决
xia09222826的专栏
12-04 1198
build.gradle原来使用的是:classpath 'com.android.tools.build:gradle:3.5.3'build.gradle使用:classpath 'com.android.tools.build:gradle:3.5.4'AndroidManifest.xml中引入以下内容报错。
Android manifest文件中的标签详细介绍
石佛永不老
09-04 6654
概要 每一个Android应用都应该包含一个manifest文件,即AndroidManifest.xml。它包含了程序运行的一些必备信息,比如: --为Java应用程序指定一个独一无二的名字。 --描述程序所包括的成分,如activities, services, broadcast receivers和content providers等内容。 --定义哪一个成分是主要的。比如主线
android 打包失败:manifest 中发现意外元素 <queries>
Primer5
05-17 543
该错误在打包过程中资源合并时出现。
Android AndroidManifest 清单文件以及权限详解
Weven-blog
08-09 1万+
每个Android应用都需要一个名为AndroidManifest.xml的程序清单文件,这个清单文件名是固定的并且放在每个Android应用的根目录下。它定义了该应用对于Android系统来说一些非常重要的信息。Android系统需要这些信息才能正常运行该应用。Android程序清单文件主要具有下面作用: · 它给应用程序Java包命名,这个包名作为应用程序唯一标识符。 · 它描述了应用程序中的每个程序组件—Activity,Service,Broadcast Receiver
Android 11适配攻略
chuyouyinghe的专栏
07-27 6589
Android11的变更还是比较多的,除了上述变更外,还有5G、瀑布屏、网络连接。版权声明本文为CSDN博主「八归少年」的原创文章,遵循CC4.0BY-SA版权协议,转载请附上原文出处链接及本声明。原文链接httpshttpshttpshttpshttps。...
AndroidManifest.xml中含盖的安全问题
samli的博客
03-16 1123
0x00 关于AndroidManifest.xml AndroidManifest.xml 是每个android程序中必须的文件。它位于整个项目的根目录,Manifest文件提供有关应用程序到Android系统的基本信息,系统必须具有该信息才能运行任何应用程序的代码。换句话说APP是跑在Android系统上,既然要跑在其上,就必须提供信息给Android System,这些信息就存在And...
allowbackup的作用
热门推荐
隔壁小王的博客
06-01 2万+
今天阴差阳错查了一下application中allowbackup属性的作用,看了大吃一惊,allowbackup是一个是否允许备份系统和用户数据的属性,应因此而引发Android的安全性问题。漏洞案例 先来看一个情景案例,某IT男一直暗恋部门某女神,一天女神手机太卡了找IT男帮助清理手机空间,IT 男高兴地答应女神两分钟搞定,屁颠屁颠的跑到自己电脑旁边连上手机,女神在一边呆呆的看着IT男敲了几
依赖第三方库时出现的问题:Manifest merger failed : uses-sdk:minSdkVersion 15 cannot be smaller than version 16
小鱼的博客
06-28 1万+
        近期做项目时,导入第三方库时出现了sdk版本不兼容问题。我将第三方的module导入到项目中,并进行依赖,报错:               这是因为我们app的module所支持的sdk最低版本与依赖module的sdk最低版本不一致:        我项目app module的minSdkVersion 如图:        CommonLib module中的minSdkVe...
Android 应用有哪些常见,常被利用的安全漏洞(转自知乎作者网易云)
CsdnXiaoCaiJi的博客
05-18 3200
(保存在自己的博客,以后慢慢看)作者:网易云链接:https://www.zhihu.com/question/22933619/answer/392842386来源:知乎著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。Android应用会遇到各种各样的漏洞,如何从细节上了解各种安全隐患,积极采取适当的防御措施便变得尤为重要。为了让大家对Android漏洞有一个非常全面的认识,...
AndroidAndroidManifest.xml文件解析和权限集合
码莎拉蒂
10-11 7551
程序执行需要读取到安全敏感项必需在androidmanifest.xml中声明相关权限请求, 完整列表如下: 1. android.permission.ACCESS_CHECKIN_PROPERTIES     允许读写访问”properties”表在 checkin数据库中,改值可以修改上传( Allows read/write access to the “properties”
深入解析AndroidManifest.xml配置
"本文详细解析了AndroidManifest.xml配置文件在Android应用开发中的重要性和具体使用方法,包括各种元素的配置和作用。" AndroidManifest.xml是每个Android应用的核心配置文件,它告诉系统应用程序的基本信息、权限...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

编程圈子

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值