AllowBackup/FullBackupContent Problems  The allowBackup attribute determines if an application's data can be backed up and restored. It is documented at http://developer.android.com/reference/android/R.attr.html#allowBackup  By default, this flag is set to true. When this flag is set to true, application data can be backed up and restored by the user using adb backup and adb restore.  This may have security consequences for an application. adb backup allows users who have enabled USB debugging to copy application data off of the device. Once backed up, all application data can be read by the user. adb restore allows creation of application data from a source specified by the user. Following a restore, applications should not assume that the data, file permissions, and directory permissions were created by the application itself.  Setting allowBackup="false" opts an application out of both backup and restore.  To fix this warning, decide whether your application should support backup, and explicitly set android:allowBackup=(true|false)".  If not set to false, and if targeting API 23 or later, lint will also warn that you should set android:fullBackupContent to configure auto backup.  https://developer.android.com/training/backup/autosyncapi.html

翻译:

AllowBackup / FullBackupContent问题AllowBackup属性决定了如果一个应用程序的数据可以备份和恢复。它是记录在http://developer.android.com/reference/android/R.attr.html allowBackup默认情况下,这个标志被设置为真。这个标志被设置为真时,应用程序数据可以备份和恢复由用户使用亚行亚行备份和恢复。这可能对应用程序的安全影响。亚行备份允许用户启用USB调试复制应用程序数据的设备。一旦备份,用户可以读取的所有应用程序数据。亚洲开发银行恢复允许创建应用程序数据从源由用户指定。恢复后,应用程序不应该假定数据,文件权限和目录权限是由应用程序本身。设置allowBackup =“false”选择一个应用程序的备份和恢复。要修复这个警告,决定是否应该支持应用程序备份和显式地设置android:allowBackup =(true |假)“。如果没有设置为假,如果针对API 23日或之后,线头也警告说,你应该 定的android:fullBackupContent配置自动备份.https://developer.android.com/training/backup/autosyncapi.html

allowBackup安全风险描述:

Android API Level 8及其以上Android系统提供了为应用程序数据的备份和恢复功能,此功能的开关决定于该应用程序中AndroidManif当allowBackup标志为true时,用户即可通过adb backup和adb restore来进行对应用数据的备份和恢复,这可能会带来一定的安全风险。

Android属性allowBackup安全风险源于adb backup容许任何一个能够打开USB调试开关的人从Android手机中复制应用数据到外设,一旦应用数据被备份之后,所有应用数据都可被用户读取; adb restore容许用户指定一个恢复的数据来源(即备份的应用数据)来恢复应用程序数据的创建。因此,当一个应用数据被备份之后,用户即可在其他的Android手机或模拟器上安装同一个应用,以及通过恢复该备份的应用数据到该,在该设备上打开该应用即可

尤其是通讯录应用,一旦应用程序支持备份和恢复功能,攻击者即可通过adb backup和adb restore进行恢复新安装的同一应用来查看聊天记录等信息;对于支付金融类应用,攻击者可通过此来进行恶意支付,盗取存款等;因此为了安全起见,开发者务必将allowBackup标志值设置为假来关闭应用程序的备份和恢复功能,以免造成信息泄露和财产损失。


简单说就是:

 设置为true,可以通过USB是调试,加上adb来恢复数据,导致数据泄露风险,在API 23以后也会警告。建议设置为false。


更多相关文章

  1. Android应用程序设置Home Screen
  2. 如何开始使用Android应用程序模板
  3. android 监听联系人数据库
  4. Android应用程序键盘(Keyboard)消息处理机制分析(28)
  5. Android监听应用程序安装和卸载
  6. Android应用程序安装过程源代码分析(3)
  7. Android应用程序安装过程源代码分析(4)

随机推荐

  1. Android中app卡顿原因分析(ios顺滑)
  2. 解决:eclipse导入android时工程下没有R文
  3. 没错,你没有看错,博客园Android客户端开源
  4. Android样式的开发:selector篇
  5. 安卓开发工程师必备技能——框架,看看你都
  6. 任务和进程
  7. Android帧缓冲区(Frame Buffer)硬件抽象层(H
  8. 使用动画和fragment改善Android表单
  9. Android2018年最新前沿框架和技术
  10. android MVP + dagger2 + Retrofit + Rxj