应用程序数据可备份

1. 问题说明

在 Android 2.1 以上的系统中可以为 App 提供应用程序数据的备份和恢复功能，这些功能由 AndroidMainfest.xml 文件中的 allowBackup 属性值进行控制，其默认的值为 true。当 allowBackup 的值设置为 true 时，就可通过 adb backup 和 adb restore 来进行备份和恢复应用程序数据，这样是可能获取到明文存储的用户敏感信息。

2. 测试步骤

检查 AndroidManifest.xml 文件中的 allowBackup 属性 (MobSF) 是否显式设置为 false。
这里使用的工具是 Jadx，对于新版本的 Jadx 也是可以直接查看 apk 签名和证书的。
如果 allowBackup 的值为 true 则说明存在问题。相关案例：Android App AllowBackup 漏洞

3. 修复建议

建议将 allowBackup 属性显式地设置为 false，这样就可以关闭应用数据备份功能；也可以使用具有本地数据加密功能的安全加固方案对本地数据进行加密，从而避免本地数据地泄露。