app安全评估之客户端程序安全(程序数据任意备份)

安全场景描述

当在AndroidManifest.xml文件中未设置android:allowBackup属性值或,设置android:allowBackup="true"时,可对应用程序私有目录下的所有数据进行备份.

威胁等级

影响范围

Android所有版本

测试步骤

找到AndroidManifest.xml,搜索allowBackup。

证明漏洞存在。

  • 检查manifest文件的application节点是否设置android:allowBackup属性值,若未设置该属性,则存在漏洞(若未设置android:allowBackup属性,则其值默认为true)
  • 检查manifest文件的application节点是否设置android:allowBackup="true",若已设置,则存在漏洞

修复建议

  • 设置AndroidManifest.xml中的android:allowBackup的属性值为false
posted @ 2020-09-22 14:09  Deft_hacker  阅读(273)  评论(0)    收藏  举报