簡介

Android應用安全性分析時，報了這樣一個bug：

bug截圖

這個bug的起因是在Manifest文件中配置了如下代碼：

        android:allowBackup="true"

注：allowBackup默認為true

AllowBackup是在Android 2.2中引入的一個系統備份的功能。允許用戶備份系統應用和第三方應用的apk安裝包和應用數據，以便在刷機或者數據丟失后恢復應用。第三方應用開發者需要在應用的 AndroidManifest.xml 文件中配置 allowBackup 標志(默認為 true )來設置應用數據是否能能夠被備份或恢復。當這個標志被設置為true時應用程序數據可以在手機未獲取 ROOT 的情況下通過adb調試工具來備份和恢復，這就允許惡意攻擊者在接觸用戶手機的情況下在短時間內啟動手機 USB 調試功能來竊取那些能夠受到 AllowBackup 漏洞影響的應用的數據，造成用戶隱私泄露甚至財產損失。