频道栏目
首页 > 资讯 > 其他 > 正文

AndroidManifest allowBackup配置风险

16-11-21        来源:[db:作者]  
收藏   我要投稿

背景

2012年Android 2.2 Froyo系统中,谷歌引入了系统备份的功能,允许用户备份系统应用和第三方应用的APK安装包和应用数据。第三方应用需要在AndroidManifest.xml中配置allowBackup(默认true)。

当这个标志被设置为true时,应用程序数据可以在手机未root的情况下,通过adb调试工具来备份和恢复,因此攻击者可以利用这个漏洞在接触用户手机的情况下短时间启动手机USB调试功能来窃取受此漏洞影响 数据。

检测

手机启动USB调试,连接手机1、手机2 PC连接手机(可能需要安装驱动) 启动命令行输入:
adb devices
adb backup -nosystem -noshared -apk -f com.**.**.ab com.**.** 

参数说明:-f 表示备份的.ab文件路径和文件

点击手机1确认备份界面的“备份我的数据” 备份完成,生成com...ab 连接手机2,输入:
adb kill-server
adb devices
adb backup com.**.**.ab
点击手机2确认“恢复我的数据” 恢复完成 打开手机2,可以正常登陆手机1应用的各种操作

修复建议

对于涉及以安全的APP,建议将allowBackup设置为false

    
        
   
相关TAG标签
上一篇:在ASP.NET网页上的跨页发送PreviousPage
下一篇:fushia系统之编译环境搭建(一)
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站