Android 安全 —— allowbackup 引起的漏洞

概述

在 API 8 以上，Android 提供了应用数据备份和恢复的功能。在 AndroidManifest.xml 的 allowbackup 可以声明App是否允许被备份。

当 allowBackup 为 true 时，App 可以被备份，可以通过 adb backup 和 adb restore 来备份和恢复应用。

  <application
        android:allowBackup="false"
        .....

风险

一旦应用允许用户数据备份，那么他就可以将数据恢复到其他的机器或者模拟器上，造成用户信息泄露甚至财产损失。

防范

• 可以将 allowBackup 设置为false。
• 程序内部判断手机唯一ID，如果ID与之前不同，则清空数据，重置登录状态。