检测Android APK备份数据是否开启
目录
- 漏洞危害
- 使用工具检测
- 检测步骤
- 漏洞利用
漏洞危害
我感觉说这个功能是漏洞有点牵强,先看看APK备份数据的功能是怎么来的,Android 从 API Level 8开始就提供了为APK应用程序备份和恢复数据的功能,此功能的开关可以通过应用程序中AndroidManifest.xml文件的allowBackup属性值进行配置,默认是True,所以用户可以对我们应用程序进行数据备份。正常来说是一项正常功能。
但是一些“白帽子”想到这个功能可以利用,用来备份用户的登录账号信息,所以才有演变成漏洞的味道,但是利用难度及其苛刻,需要用户登录了某应用,用户的手机还被攻击者拿到,还能解锁用户手机做操作,然后才能愉快的使用adb备份下来APK的数据。
基于利用成功的前提是需要这么多苛刻的条件,我是攻击者都不会采取这么低级的手段去获取一个应用的登录的信息,直接钓鱼不更快?所以唯一的危害就是这些“白帽子”会不胜其烦的提交到企业并大做文章渲染其危害,为了避免这个烦恼,开发者们在没有备份数据这个需求的情况下直接关闭这个功能,让这些“白帽子” shut up。
使用工具检测
jadx-gui-0.8.0.exe
检测步骤
- 反编译APK包,得到源码文件;
- 搜索allowBackup属性是否为true
结果确认:
- android:allowBackup="true" 说明存在漏洞,通过adb 就能备份APK数据,比如登录数据;
- android:allowBackup="flase" 说明不存在;
- 如果没配置 android:allowBackup 属性,那么Android系统会默认为 android:allowBackup="true" ;
漏洞利用
1.先在该被攻击设备A上执行如下命令将数据备份到电脑上:
$ adb backup -f back.ab -noapk com.jianshu.haruki
Now unlock your device and confirm the backup operation.
2.然后在换一台设备B安装此应用,但是不登陆任何帐号密码,执行如下命令:
$ adb restore back.ab
Now unlock your device and confirm the restore operation.
转载于:https://www.cnblogs.com/mysticbinary/articles/10531893.html
检测Android APK备份数据是否开启相关推荐
- 《Android应用开发攻略》——2.14 备份Android应用程序数据
2.14 备份Android应用程序数据 Pratik Rupwal 2.14.1 问题 当用户恢复出厂设置或者改用新的Android设备时,应用程序丢失存储数据或者应用程序设置. 2.14.2 解决 ...
- app不能备份数据,更改allowBackup为true,并重新打包apk
将apk中AndroidManifest.xml中的allowBackup属性改为true,重新打包并签名 有个手机单机游戏的安装包,想通关后保存游戏的本体和数据,就可以卸掉,来节省手机空间,若再想玩 ...
- android应用备份,Android备份App及数据
1.要有Root权限,和sd卡写权限 2.备份App本身 private void backupApp(String packageName) throws IOException { File in ...
- gta5 android版数据包,apk.gta5com数据包
apk.gta5com数据包是一款大型的现代都市风格画面达到城市冒险与战斗系列的手机游戏.在这个充满了无限激情与冒险的世界里面,开始黑暗势力的巅峰对决,壮阔的场景带来,真实的城市特色描述,带来一种前所 ...
- 电子数据取证之Android APK分析
都是比较基础的知识,目的是做学习记录,有不足之处欢迎指正. 一.Android APK概念 APK (Android application package)指 Android 应用程序包,是 And ...
- android 手机数据备份,安卓手机如何备份数据
安卓手机如何备份数据 在用电脑的时候,我们经常备份电脑里面的重要数据,以免电脑出现问题丢失数据;在用手机时也要养成经常备份的习惯,以免手机出现意外时手机内的重要数据丢失. 步骤1:先进入手机的设置→开 ...
- [免费专栏] Android安全之数据存储与数据安全「详解」
也许每个人出生的时候都以为这世界都是为他一个人而存在的,当他发现自己错的时候,他便开始长大 少走了弯路,也就错过了风景,无论如何,感谢经历 Android安全付费专栏长期更新,本篇最新内容请前往: [ ...
- Android APK 静态分析与动态分析
Android沙盘原理与实现 作者:riusksk(泉哥)[ TSRC ]公布时间:2012-10-15阅读次数:17496评论:1 分享 [作者]:riusksk(泉哥) [团队]:腾讯安全应急响应 ...
- Android APK+Dex文件反编译及回编译工具 v.1.8.0 测试版
可显示APK文件自身图标 _______________________________________________________________________________________ ...
最新文章
- 基于深度卷积神经网络的小样本分割算法综述
- python-requests官网_requests使用心得
- 机器学习系列16:机器学习系统设计
- 可以比较两个指针是否相等_算法一招鲜——双指针问题
- Flux快速入门指南
- boost::mp11::mp_replace_at相关用法的测试程序
- Nmap Cheat Sheet Part 1
- 学术诚信的重要性_关于学术诚信
- transformer李宏毅讲解视频及decoder讲解
- 使用win10自带的计算器,计算对数log
- 当我想深入遗留代码一探究竟的时候
- 查杀病毒实战----------------》ddg.223 and AnXQV
- 数字IC后端需要学习什么?需要具备哪些技能?
- Visual Studio程序员主题库
- 02年六代雅阁的整备质量_雅阁对不起,我不能爱你。
- 能量英语(一)之激情英语
- 凸包算法-------Graham扫描法
- 如何静下心做些事情呢
- .net MVC学习笔记(1)
- SQL快速入门、查询(SqlServer)[郝斌SqlServer完整版]