Android学习第十一天--------Android App AllowBackup

最新推荐文章于 2026-01-03 20:45:05 发布
转载 最新推荐文章于 2026-01-03 20:45:05 发布 · 379 阅读 · 1
文章标签:

#android

  1. AllowBackup安全风险描述

    Android API Level 8及其以上Android系统提供了为应用程序数据的备份和恢复功能,此功能的开关决定于该应用程序中AndroidManifest.xml文件中的allowBackup属性值 ,其属性值默认是True。当allowBackup标志为true时,用户即可通过adb backup和adb restore来进行对应用数据的备份和恢复,这可能会带来一定的安全风险。
    Android属性allowBackup安全风险源于adb backup容许任何一个能够打开USB 调试开关的人从Android手机中复制应用数据到外设,一旦应用数据被备份之后,所有应用数据都可被用户读取;adb restore容许用户指定一个恢复的数据来源(即备份的应用数据)来恢复应用程序数据的创建。因此,当一个应用数据被备份之后,用户即可在其他Android手机或模拟器上安装同一个应用,以及通过恢复该备份的应用数据到该设备上,在该设备上打开该应用即可恢复到被备份的应用程序的状态。
    尤其是通讯录应用,一旦应用程序支持备份和恢复功能,攻击者即可通过adb backup和adb restore进行恢复新安装的同一个应用来查看聊天记录等信息;对于支付金融类应用,攻击者可通过此来进行恶意支付、盗取存款等;因此为了安全起见,开发者务必将allowBackup标志值设置为false来关闭应用程序的备份和恢复功能,以免造成信息泄露和财产损失。

  2. AllowBackup安全影响范围

    Android API Level 8以及以上系统
    3.命令如下

adb backup -f test.ab com.pack.package

adb restore test.ab

adb backup -f mm.ab -noapk -noshared -nosystem com.***


nox_adb.exe restore com.xywy.***

看到我们使用unpack参数来将ab文件转化成tar文件:

java -jar abe.jar unpack applock.ab applock.tar
Android之ksoap2-android详解与调用天气预报Webservice完整实例
村头那抠脚大叔的专栏
11-19 1万+
Google为Android平台开发Web Service客户端提供了ksoap2-android项目,在这个网址下载开发包http://code.google.com/p/ksoap2-android/source/browse/m2-repo/com/google/code/ksoap2-android/ksoap2-android-assembly/3.1.0/ksoap2-android-
Android Studio 学习实例记录-手电筒
ficey的博客
05-30 1万+
刚安装好Android Studio,上网搜了一个实例进行实践学习,仅用这篇文章来记录学习过程
安卓手机微信数据导出方法 -- adb备份(无需root)
热门推荐
10-05 2万+
此方法用于安卓4.0以上系统,无需root(仅用于安卓微信版本为6.0以下的导出,6.0以上版本无法使用此方法导出)  1. 下载ADB软件包合集,里面有需要的所有工具(点击下载)。  2. 用数据线连接上手机和电脑,开启手机的DEBUG模式(不了解请百度下,很简单),提示安装驱动就安装。这个可以用各种手机助手来完成,会自动检测并安装。  3. 解压ADB软件包,双击里面的Com
android组件导出权限,AndroidManifest.xml中含盖的安全问题详解
weixin_30624185的博客
05-25 1489
AndroidManifest.xml中含盖的安全问题详解发布时间:2020-10-26 04:00:09来源:脚本之家阅读:102作者:samli0x00 关于AndroidManifest.xmlAndroidManifest.xml 是每个android程序中必须的文件。它位于整个项目的根目录,Manifest文件提供有关应用程序到Android系统的基本信息,系统必须具有该信息才能运行任何...
基于Android Studio经典蓝牙APP---继上一次的完善版
morecrazylove的博客
03-20 1万+
基于Android Studio经典蓝牙APP—继上一次的完善版 考虑到好友网友们反馈的问题总结了以下几点: 1、工程下载爆红:版本问题—gradle:4.1.1。 2、无接收数据功能,怎么实现:这里我会附上程序大家自行理解. 3、程序突然闪退问题:那是因为发送和接收广播等线程上起冲突了,大家看修改后的程序进行理解。 4、界面上控件的颜色调不了: res/values/themes.xml下的 <style name="Theme.HelloWorld" parent="Theme.Materia
Android四大组件之-Activity的创建与应用
2301_77563065的博客
08-30 2850
isExit) {Toast.makeText(getApplicationContext(), "再按一次退出程序",// 利用handler延迟发送更改状态信息} else {AppExit();/*** 完全退出应用程序,包括后台任务* 需添加权限:android.permission.KILL_BACKGROUND_PROCESSES*/try {finish();
Android 利用 <activity-alias> 动态改变 App 桌面图标
GracefulGuigui的博客
01-10 846
案例分析 & 需求来源 每逢双十一购物节,你会发现手淘 App 的桌面图标会发生改变,当然应用里面的主题色调也会改变,变得非常喜庆,营造出一种节日的氛围,用户体验极好。既然存在这样的产品运营方式,那么如何从技术上实现呢?修改应用主题色调在这里就不谈了,常见的效果有黑白主题切换、主题包下载等,关于对应开发实现方式的讲解,网上相关资料很多。这里聊聊如何修改桌面图标,毕竟这个点涉及到的知识还是很少
yolov2-Tiny转换到ncnn下移植到android
还是小屁孩
11-01 5055
之前一篇介绍了yolov2-Tiny在darknet下训练,之后转化为caffe下,最终转换到ncnn下:https://blog.youkuaiyun.com/qq_29377279/article/details/83548180 这一篇将记录一下我和师兄继续踩坑android,对于不会安卓,C/C++一般的我们,居然还要结合安卓和C/C++。 先安装好Android Studio,再安装好NDK参考: ...
Android实战简易教程-第七十五枪(WIFI直连工具类)
张亚运的专栏
05-29 2285
设置指定的WIFI用户名密码和加密方式,可以进行WIFI直连。1.工具类-WifiUtil.java:package demo.androidwar.com.myapplication; import android.content.Context; import android.net.wifi.ScanResult; import android.net.wifi.WifiConfigura
Android跨进程通信--AIDL原理解析
行知致简的专栏
10-25 6820
AIDL是一个缩写,全程是Android Interface Definition Language,也是android接口定义语言。准确的来说,它是用于定义客户端/服务器通信接口的一种描述语言。它其实一种IDL语言,可以拿来生成用于IPC的代码。从某种意义上说它其实是一个模板。为什么这么说?因为在我们使用中,实际起作用的并不是我们写的AIDL代码,而是系统根据它生成的一个IInterface的实例的代码。
我和谷歌共同成长----Andriod(安卓)开发(持续更新)
Run_Snails的博客
08-28 929
开发零基础入门1.工程结构介绍总目录app目录src目录Main 目录2.控件介绍TextView1. 1.工程结构介绍 app工程文件如下: 总目录 .gradle和.Idea是Andriod studio 自动生成的文件,而且不用手动去编辑,打包时会将其删除。 App文件夹是代码和资源等一些东西,工作的核心目录。 Gradle是一个构建器,里面还会有相应的版本。 .gitignore是一个版本控制的时候,可以将一些版本和目录排除在外,像git的时候可以将部分代码排除到外。 Build.gradle是项
android编程】第七讲-android Activity
xbean1028的博客
03-16 1万+
android编程】第七讲-android Activity 文章目录【android编程】第七讲-android Activity1. 学习指导2. Activity生命周期3. 创建Activity4. 配置Activity5. 启动和关闭Activity6. Activity 传递数据7. Activity 返回数据8. 题目记录关于生命周期详见前面 2.Activity生命周期 1. 学...
opencv-mobile 和 ncnn-android 环境配置
技术客的专栏
12-30 225
注意:Windows 路径中的反斜杠需要转义,使用。
Dvwa靶场搭建_错误汇总
sjsn_z的博客
12-31 843
本文介绍了网站安全基础知识和DVWA靶场搭建方法。主要内容包括: 网站安全概述:解释了为何网站成为主要攻击目标,并介绍了OWASP组织及其TOP 10安全报告 常见漏洞类型:详细列举了SQL注入、命令执行、文件上传等9种主要漏洞及其危害 DVWA靶场介绍:说明这个专门设计的漏洞练习平台的功能和价值 详细搭建步骤:提供从环境准备到最终配置的完整指南,包括PHPStudy安装、DVWA部署、数据库配置等关键环节 常见问题解决:针对数据库连接、CSRF令牌错误等问题提供解决方案 安全级别说明:解释Low到Impo
android compose CheckBox, RadioGroup 使用
最新发布
maoning20080808的专栏
01-03 369
android compose CheckBox, RadioGroup 使用
下载安装AndroidStudio配置Gradle运行第一个kotlin程序
幽络源
12-29 836
本文介绍了Android Studio的下载安装与项目创建流程。官方下载地址包括国内和国际两个版本,安装时可通过Custom选项自定义SDK路径。项目创建时选择EmptyActivity模板,重点需注意Gradle版本与AGP的兼容性,建议修改GradleUserHome路径以避免占用C盘空间。若网络问题导致依赖下载失败,可手动下载Gradle并指定本地路径。最后展示了项目运行方式,建议使用Project视图模式,点击运行按钮即可启动程序。
Android C++ 学习笔记 2
zhuguanlin121的博客
12-28 884
template.cpp template2.cpp exception.cpp exception2.cpp exception3.cpp exception4.cpp exception5.cpp exception6.cpp exception7.cpp exception8.cpp 19th_smartpointer person.cpp person2.cpp person3.cpp person4.cpp person5.cpp person6.cpp person7.cpp person8.c
Android】深入浅出 JNI
weixin_44814196的博客
12-31 613
JNI是一套标准规范,允许运行在 Java 虚拟机中的 Java/Kotlin 代码 与能够与本地代码 (Native Code,通常是 C 或 C++) 进行安全、高效的双向通信。数据类型映射规范:定义了Java类型与本地C/C++类型之间的完整映射关系,包括基本类型(如jint对应Java的int)、引用类型(如jobject对应Java对象)以及数组类型(如jintArray)。方法命名和注册规范规定了本地方法的命名规则,采用"Java_*包名_*类名_方法名"的格式。
SuperMap iMobile for Android中模型按照指定路径运动
weixin_45646117的博客
12-29 151
支持:.fbx、.3ds、.obj、.dae、.x、.osgb、.stl、.off、.gltf、.glb、.s3mb、.osg、.s3m、.sgm、.mesh格式模型。这里添加静态模型和轨迹模型均可。
HACKDROID - Security Apps for Android
08-03
Android 平台,为了提升应用的安全性,开发者通常会采用多种防护手段,包括代码混淆、资源混淆、签名机制、数据备份控制等。以下是针对 Android 应用安全防护的推荐策略和相关工具,适用于不同层次的安全需求: ### 代码混淆与资源混淆 代码混淆是 Android 应用中最常见的安全防护手段之一,通过 ProGuard 或 R8 工具将类名、方法名和变量名替换为无意义的字符,从而增加反编译后的代码阅读难度。虽然不能保证绝对安全,但能有效延缓攻击者对核心逻辑的分析[^4]。 ```gradle # 在 build.gradle 中启用代码混淆 android { buildTypes { release { minifyEnabled true proguardFiles getDefaultProguardFile('proguard-android-optimize.txt'), 'proguard-rules.pro' } } } ``` 资源混淆则是对资源文件(如图片、布局文件)进行重命名,防止攻击者通过资源名称推测功能逻辑,常用于加固工具链中。 ### 应用签名机制 Android 提供了多级签名方案来确保应用的完整性和来源可信: - **v1 方案**:基于 JAR 签名,适用于 Android 6.0 及以下版本。 - **v2 方案**:APK 签名方案 v2,在 Android 7.0 引入,提高了完整性验证效率。 - **v3 方案**:在 Android 9 中引入,支持密钥轮换。 - **v4 方案**:在 Android 11 中引入,支持基于内容的签名[^2]。 开发者应尽可能使用最新的签名方案,以增强应用的完整性保护。 ### 数据泄露防范 在 AndroidManifest.xml 中,`allowBackup` 属性控制是否允许通过 `adb backup` 和 `adb restore` 命令备份和恢复应用数据。默认值为 `true`,但在敏感应用中应将其设置为 `false`,以防止用户数据被非法提取[^3]。 ```xml <application android:allowBackup="false" ...> </application> ``` 此外,敏感数据应避免以明文形式存储,推荐使用 Android Keystore 系统加密存储密钥,或使用 SecurePreferences 等库对 SharedPreferences 数据进行加密。 ### 安全加固工具推荐 - **DEX 加固**:如梆梆安全、爱加密、几维安全等第三方加固平台,提供DEX文件加密、动态加载、反调试等高级防护功能。 - **运行时检测**:使用安全 SDK 检测 Root、调试器附加、模拟器运行等风险环境。 - **网络通信安全**:采用 HTTPS、证书绑定(Certificate Pinning)、数据加密传输等机制,防止中间人攻击。 ### 安全防护框架建议 - 使用 Android SafetyNet 或 Play Integrity API 进行设备和运行环境的完整性校验。 - 集成 Firebase App Check 提升后端服务的安全访问控制。 - 使用 Android 的 WorkManager 或 JobScheduler 机制确保敏感任务在安全上下文中执行。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值