app安全评估之客户端程序安全（程序数据任意备份）

安全场景描述

当在AndroidManifest.xml文件中未设置android:allowBackup属性值或,设置android:allowBackup="true"时,可对应用程序私有目录下的所有数据进行备份.

威胁等级

中

影响范围

Android所有版本

测试步骤

找到AndroidManifest.xml，搜索allowBackup。

证明漏洞存在。

• 检查manifest文件的application节点是否设置android:allowBackup属性值,若未设置该属性,则存在漏洞（若未设置android:allowBackup属性,则其值默认为true）
• 检查manifest文件的application节点是否设置android:allowBackup="true",若已设置,则存在漏洞

修复建议

• 设置AndroidManifest.xml中的android:allowBackup的属性值为false