两分钟窃取身边女神微博帐号？详解Android App AllowBackup配置带来的风险

  在谷歌2010年发布Android 2.2 Froyo (冻酸奶)系统中，谷歌引入一个了系统备份的功能，允许用户备份系统应用和第三方应用的apk安装包和应用数据，以便在刷机或者数据丢失后恢复应用。 第三方应用开发者需要在应用的AndroidManifest.xml文件中配置allowBackup标志(默认为true)来设置应用数据是否能能够被备份或恢复。

当这个标志被设置为true时应用程序数据可以在手机未获取ROOT的情况下通过adb调试工具来备份和恢复，这就允许恶意攻击者在接触用户手机的情况下在短时间内启动手机USB调试功能来窃取那些能够受到AllowBackup漏洞影响的应用的数据，造成用户隐私泄露甚至财产损失。

[0x02] 检测方法

（1）手工检测

测试环境：

1.Windows 7，ADB调试工具

2.物理接触目标手机1，连接手机1到PC端

3.手机1和手机2均未被ROOT，开启USB调试

4.不用安装其它应用，不启动被测试的应用

测试流程：

1.连接安装开启USB调试手机1 到PC端

2.在PC自动（也可以提前）安装好手机驱动后

3.启动命令行界面输入以下命令：

1

2

3

4

5

6

7

adb devices

 

#显示已连接的设备列表，测试手机是否正常连接

 

adb backup -nosystem -noshared -apk -f com.sina.weibo.ab com.sina.weibo

 

#-nosystem表示不备份系统应用 -noshared表示不备份应用存储在SD中的数据 -apk表示备份应用APK安装包 -f 表示备份的.ab文件路径和文件名 最后是要备份应用的packageName

4.点击手机1确认备份界面的“备份我的数据”

5.等待备份完成，至此微博客户端数据成功备份为com.sina.weibo.ab文件

6.断开手机1的连接，可以把手机还给女神啦

7. 连接手机2 ，在命令行界面下输入以下命令：

1

2

3

4

5

adbkill-server #关闭ADB

 

adbdevices#重新启动ADB，检测手机2是否成功连接

 

adbrestorecom.sina.weibo.ab

8.点击手机2确认恢复界面的“恢复我的数据”

9.等待恢复完成

10.打开手机2中新安装的微博客户端，测试可正常登录手机1中帐号执行各种操作，且长期有效。