威脅描述:
Android API Level 8及以上Android系統提供了爲應用程序數據的備份和恢復功能,該功能由AndroidMainfest.xml文件中的allowBackup屬性值控制,其默認值爲true。當該屬性沒有顯式的設置爲false時,攻擊者可以通過adb backup對應用數據進行備份,通過adb restore對備份的數據進行恢復,從而竊取明文存儲的敏感信息,如用戶名、賬號、密碼、手機號碼等。
結果描述:
該應用AndroidMainfest.xml文件中的allowBackup屬性值爲true,存在數據越權備份的風險。
解決方案:
將AndroidMainfest.xml文件中的allowBackup屬性值設置爲false來關閉應用程序的備份和恢復功能;或者使用專業安全加固方案的本地數據保護功能,避免本地數據泄露。
<application
android:allowBackup="false"
android:icon="@mipmap/ic_launcher"
android:label="@string/app_name"
android:roundIcon="@mipmap/ic_launcher_round"
android:supportsRtl="true"
android:theme="@style/Theme.AppCompat.NoActionBar">
<activity android:name=".MainActivity">
<intent-filter>
...
</intent-filter>
</activity>
</application>