簡介

Android應用安全性分析時，報了這樣一個bug：

bug截圖

這個bug的起因是在Manifest文件中配置了如下代碼：

        android:allowBackup="true"

注：allowBackup默認為true

AllowBackup是在Android 2.2中引入的一個系統(tǒng)備份的功能。允許用戶備份系統(tǒng)應用和第三方應用的apk安裝包和應用數(shù)據，以便在刷機或者數(shù)據丟失后恢復應用。第三方應用開發(fā)者需要在應用的 AndroidManifest.xml 文件中配置 allowBackup 標志(默認為 true )來設置應用數(shù)據是否能能夠被備份或恢復。當這個標志被設置為true時應用程序數(shù)據可以在手機未獲取 ROOT 的情況下通過adb調試工具來備份和恢復，這就允許惡意攻擊者在接觸用戶手機的情況下在短時間內啟動手機 USB 調試功能來竊取那些能夠受到 AllowBackup 漏洞影響的應用的數(shù)據，造成用戶隱私泄露甚至財產損失。