应用允许备份漏洞
Android应用的Manifest.xml的Application标签下的allowBackup属性决定当前的应用程序可不可以备份,如果可以备份,则可能导致应用的敏感信息泄露。
如果当前的应用程序确实需要备份功能,就必须明确的指定backupAgent属性,那么当备份的时候,会使用你指定的类来备份,第三方的外部程序就无法通过备份来窃取你的数据。
检测方法
如果一个应用程序的AndroidManifest.xml文件指定allowBackup属性为为true,且没有指定backupAgent,就认为有允许备份漏洞。
修复方法
- 显式的指定allowBackup属性为false。
- 如果指定allowBackup为true,必须设置backupAgent属性。