Android 属性 allowBackup 安全风险浅析 具体操作流程

最新推荐文章于 2025-04-12 11:50:13 发布
最新推荐文章于 2025-04-12 11:50:13 发布
阅读量463 收藏
点赞数 2
CC 4.0 BY-SA版权
分类专栏: Android--经典案例
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Zadarrien_China/article/details/98878326
探讨Android系统中allowBackup属性的安全风险,当设为true时,adb工具可备份应用数据,导致信息泄露和财产损失,建议开发者将其设为false。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Android 属性 allowBackup 安全风险浅析 --> https://segmentfault.com/a/1190000002590577

1、allowBackup安全风险描述
Android API Level 8及其以上Android系统提供了为应用程序数据的备份和恢复功能,此功能的开关决定于该应用程序中AndroidManifest.xml文件中的allowBackup属性值[1] ,其属性值默认是true。当allowBackup标志为true时,用户即可通过adb backup和adb restore来进行对应用数据的备份和恢复,这可能会带来一定的安全风险。
Android属性allowBackup安全风险源于adb backup容许任何一个能够打开USB 调试开关的人从Android手机中复制应用数据到外设,一旦应用数据被备份之后,所有应用数据都可被用户读取;adb restore容许用户指定一个恢复的数据来源(即备份的应用数据)来恢复应用程序数据的创建。因此,当一个应用数据被备份之后,用户即可在其他Android手机或模拟器上安装同一个应用,以及通过恢复该备份的应用数据到该设备上,在该设备上打开该应用即可恢复到被备份的应用程序的状态。
尤其是通讯录应用,一旦应用程序支持备份和恢复功能,攻击者即可通过adb backup和adb restore进行恢复新安装的同一个应用来查看聊天记录等信息;对于支付金融类应用,攻击者可通过此来进行恶意支付、盗取存款等;因此为了安全起见,开发者务必将allowBackup标志值设置为false来关闭应用程序的备份和恢复功能,以免造成信息泄露和财产损失。

2、allowBackup安全影响范围

Android API Level 8以及以上系统

3、allowBackup安全风险详情

1) allowBackup风险位置:
AndroidMannifest.xml文件android:allowBackup属性

2) allowBackup风险触发前提条件:
未将AndroidMannifest.xml文件中的android:allowBackup属性值设为false

3) allowBackup风险原理:
当allowBackup标志值为true时,即可通过adb backup和adb restore来备份和恢复应用程序数据

第一步:使用adb backup -f applock.ab com.thinkyeah.smartlockfree 进行数据的备份
在这里插入图片描述
在这里插入图片描述

第二步:使用android-backup-extractor(abe)工具来解析ab文件

这个工具是开源的,用Java语言写的。源码位于:https://github.com/nelenkov/android-backup-extractor

这里没有直接下载源码,然后编译了,直接在网上下载了一个编译好的

这里我就下载好了,可以从这里下载:http://download.youkuaiyun.com/detail/jiangwei0910410003/9523470

要在同一个目录下
看到我们使用unpack参数来将ab文件转化成tar文件:
java -jar abe.jar unpack applock.ab applock.tar
下面是解压的内容 也包含一些敏感的数据
在这里插入图片描述

解析数据到次完成。

下面是如何恢复数据:
与上面的adb backup命令相对应的还有一个就是adb restore命令,他是用来恢复数据的,具体用法:
adb restore applock.ab

在这里插入图片描述

注意:备份与恢复 备份的时候如果是登陆状态即使后面你退出了,在恢复的时候也是登陆状态,仅仅限于一部手机

【亲测免费】 Android备份提取器:解锁你的数据潜力
gitblog_00038的博客
03-23 1183
Android备份提取器:解锁你的数据潜力 在数字世界中,我们的手机常常成为我们个人信息和记忆的存储库,Android备份提取器是一个开源工具,它提供了一种安全、高效的方式来访问和管理这些宝贵的资料。此项目由Nicolai Nelenkov开发,旨在帮助用户轻松地解压并分析他们的Android设备备份文件。 项目简介 Android备份提取器(ABE)是一个命令行工具,它可以读取.ab(Andro...
浅析Android中的visibility属性
01-20
Android开发中,`visibility`属性是控制UI组件(如按钮、文本视图等)是否在屏幕上显示的关键属性。它提供了三个可能的值,每个值都有特定的效果: 1. **可见(Visible)**:当`visibility`设置为`visible`时,...
AndroidallowBackup属性的含义和危险性实例讲解
热门推荐
若彬的成长笔记
05-19 4万+
一、前言 今天在开发的过程中遇到一个问题,就是关于AndroidManifest.xml中的allowBackup属性,也算是自己之前对这个属性的不了解,加上IDE的自动生成代码,没太注意这个属性,但是没想到这个属性会直接导致隐私数据的丢失。下面就来看一下这个属性的影响到底有多大。他的作用是什么? 二、Android中的allowBackup属性 1、allowBackup安全风
android-backup-extractor:Android备份提取器
04-30
Android备份提取器 提取和重新打包使用adb backup (ICS +)创建的Android备份的实用程序。 很大程度上基于AOSP的BackupManagerService.java 。 建造 需要Java11。处理加密备份需要JCE无限强度管辖区策略(如果使用当前的Java 9版本,则不需要此策略)。 使用下面列出来构建工具之一或看到的预建的二进制文件(可运行jar文件)。 使用Eclipse: 从下载最新版本的Bouncy Castle Provider jar( bcprov-jdk15on-*.jar ): 将最新的Bouncy Castle jar放到lib/ ,导入Eclipse并根据需要调整构建路径。 使用abe脚本启动该实用程序。 使用Maven(至少需要JDK11): 要创建可自我执行的多合一jar: mvn clean package ,然后: ja
android-backup-extractor,Android备份提取器.zip
09-26
用于提取和重新打包使用adb backup(ics )创建的android备份的实用程序。
攻防世界app3-好久不见24
lzx13290757580的博客
01-19 336
新见到的,不知道能不能写出来。。。。。.ab:在对安卓手机进行取证时,经常需要备份手机的应用程序数据,备份后得到的数据文件为ab格式。hhhhhhhhh我又行了,就按这个步骤:安装必要的软件首先,确保你的KaliLinux系统中安装了Java和Maven。下载源码你可以使用git命令从GitHub克隆下载BouncyCastleProviderjar依赖于BouncyCastle库,需要下载并放置在lib/目录下。编译项目运行工具编译完成后,可以在target/目录下找到生成的。
浅析Android TextView常用属性
08-27
Android TextView 常用属性详解 Android 中的 TextView 是一种常用的控件,用于显示文本信息。在本文中,我们将详细介绍 Android TextView 的常用属性,并提供相应的示例代码和使用提示。 android:textColor ...
浅析Android操作系统的安全性.pdf
09-22
浅析Android操作系统的安全性.pdf
Android4.4KitkatPhone工作流程浅析
03-04
美国时间2013年10月31日,Google正式发布了全新版本的移动操作系统Android4.4KitKat。据google官方介绍,Android4.4降低了硬件的需求,提高了程序运行效率。距离4.4发布已经过去3个月了,不少朋友也已经体验到了4.4...
Android中abe工具
05-18
Android中可以查看备份文件ab的工具
ade 安卓backup解析工具
03-07
用于解析Android backup文件,ab文件 使用方便,从github上找的
安卓备份文件ab文件解压工具
09-30
用于分析ab格式文件时使用,可以将ab文件转换成tar文件,看大家问怎么用,内有README,有例子。
ADB-Backup-APK-Injection:Android ADB备份APK注入POC
05-22
ADB备份APK注入 匈牙利SEARCH-LAB Ltd.的Imre Rad发现并创建了POC,这是Android ADB备份APK注入漏洞。 什么是ADB备份/还原? Android操作系统通过ADB实用程序提供了已安装软件包的备份/还原机制。 默认情况下,将对应用程序进行完整备份,包括/ data中存储的私有文件,但是可以通过实现类来自定义此行为。 这样,应用程序可以使用自定义文件和数据为备份过程提供数据。 创建的备份文件是一个简单的压缩tar存档,其中包含一些Android特定的标头。 可选的加密也是可能的。 APK注入漏洞 调用自定义BackupAgent的备份管理器不会筛选应用程序返回的数据流。 在备份过程中执行BackupAgent时,无需用户的同意即可将其他应用程序(APK)注入备份档案中。 BackupAgent不需要Android权限。 恢复备份归档文件后,系统会以升级
如何查看自己 Android App 的私有数据?从 `adb backup` 到数据提取全过程
最新发布
leptune99的博客
04-12 914
通过adb backupabe.jar,我们可以在无需 root 的情况下获取并分析 App 的私有数据,非常适合开发调试阶段使用,或者用于临时排查用户问题。
全面复盘Android开发者容易忽视的Backup功能 _ 创作者训练营第二期
2401_84558467的博客
05-11 1051
各行各样都会淘汰一些能力差的,不仅仅是IT这个行业,所以,不要被程序猿是吃青春饭等等这类话题所吓倒,也不要觉得,找到一份工作,就享受安逸的生活,你在安逸的同时,别人正在奋力的向前跑,这样与别人的差距也就会越来越遥远,加油,希望,我们每一个人,成为更好的自己。BAT大厂面试题、独家面试工具包,资料包括 数据结构、Kotlin、计算机网络、Framework源码、数据结构与算法、小程序、NDK、Flutter,
Android逆向之旅---Android中如何获取在非Root设备中获取应用隐私数据
专注Android开发
12-02 1026
一、前言 今天在开发的过程中遇到一个问题,就是关于AndroidManifest.xml中的allowBackup属性,也算是自己之前对这个属性的不了解,加上IDE的自动生成代码,没太注意这个属性,但是没想到这个属性会直接导致隐私数据的丢失。下面就来看一下这个属性的影响到底有多大。他的作用是什么? 二、Android中的allowBackup属性 1、allowBackup安全风险
安卓备份文件提取 .bak文件解包 abe.jar
qq_38800485的博客
03-18 1万+
https://github.com/nelenkov/android-backup-extractor
从XCTF的app3题目简单了解安卓备份文件以及sqliteCipher加密数据库
windy_ll的博客
03-04 704
从XCTF的app3题目简单了解安卓备份文件以及sqliteCipher加密数据库一、题目来源二、解题过程三、总结四、附件 一、题目来源     题目来源:XCTF app3题目 二、解题过程     1、下载好题目,下载完后发现是.ab后缀名的文件,如下图所示:     2、什么是.ab文件?.ab后缀名的文件是Android系统的备份文件格式,它分为加密和未加密两种类型,.ab文件的前24...
操作系统安全浅析:Linux进程与权限管理
"该资源是一份关于Linux进程安全的高清PPT,主要涵盖了操作系统安全的基础知识,特别是Linux系统的安全机制。内容包括进程的基本概念、类型、模式和状态,以及操作系统的作用、组成、功能和安全目标。此外,还讨论了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值