“ android: allowBackup” คืออะไร?

ตั้งแต่เวอร์ชันตัวอย่าง ADT ใหม่ (เวอร์ชัน 21)พวกเขามีคำเตือนขุยใหม่ที่บอกสิ่งต่อไปในไฟล์รายการ (ในแท็กแอปพลิเคชัน):

ควรตั้งค่า android อย่างชัดเจน: อนุญาตการสำรองข้อมูลเป็นจริงหรือเท็จ (เป็นจริงโดยค่าเริ่มต้นและอาจมีผลกระทบด้านความปลอดภัยสำหรับข้อมูลของแอปพลิเคชัน)

ในเว็บไซต์ทางการพวกเขาเขียน:

การตรวจสอบใหม่สองสามครั้ง: คุณต้องตัดสินใจอย่างชัดเจนว่าแอปของคุณอนุญาตการสำรองข้อมูลหรือไม่และการตรวจสอบป้ายกำกับ มีการตั้งค่าสถานะบรรทัดคำสั่งใหม่สำหรับการตั้งค่าเส้นทางไลบรารี การปรับปรุงหลายอย่างเพื่อการวิเคราะห์ผ้าสำลีที่เพิ่มขึ้นในขณะที่แก้ไข

คำเตือนนี้คืออะไร? คุณสมบัติการสำรองข้อมูลคืออะไรและฉันจะใช้ได้อย่างไร

ทำไมคำเตือนถึงบอกฉันว่ามันมีผลกระทบด้านความปลอดภัย? อะไรคือข้อเสียและข้อดีของการปิดใช้งานคุณสมบัตินี้

มีแนวคิดการสำรองข้อมูลสองรายการสำหรับรายการ:

• "android: allowBackup " อนุญาตให้ทำการสำรองและกู้คืนผ่าน adb ดังที่แสดงที่นี่ :

อนุญาตให้แอปพลิเคชันเข้าร่วมในการสำรองข้อมูลและเรียกคืนโครงสร้างพื้นฐานหรือไม่ หากคุณลักษณะนี้ถูกตั้งค่าเป็น "เท็จ" จะไม่มีการสำรองข้อมูลหรือคืนค่าแอปพลิเคชันแม้ว่าจะมีการสำรองข้อมูลแบบเต็มระบบซึ่งอาจทำให้ข้อมูลแอปพลิเคชันทั้งหมดถูกบันทึกผ่าน adb ค่าเริ่มต้นของคุณลักษณะนี้เป็นจริง

สิ่งนี้ถือเป็นปัญหาด้านความปลอดภัยเนื่องจากผู้คนสามารถสำรองข้อมูลแอปของคุณผ่านADBจากนั้นรับข้อมูลส่วนตัวของแอพลงในพีซี

อย่างไรก็ตามฉันคิดว่าไม่ใช่ปัญหาเนื่องจากผู้ใช้ส่วนใหญ่ไม่ทราบว่า adb คืออะไรและถ้าพวกเขาทำพวกเขาจะรู้วิธีรูทอุปกรณ์ ฟังก์ชั่น ADB จะทำงานเฉพาะเมื่ออุปกรณ์เปิดใช้งานคุณสมบัติการดีบักและสิ่งนี้ต้องการให้ผู้ใช้เปิดใช้งาน

ดังนั้นเฉพาะผู้ใช้ที่เชื่อมต่ออุปกรณ์กับพีซีและเปิดใช้งานคุณสมบัติการดีบักเท่านั้นที่จะได้รับผลกระทบ หากพวกเขามีแอปที่เป็นอันตรายในพีซีที่ใช้เครื่องมือ ADB นี่อาจเป็นปัญหาได้เนื่องจากแอปสามารถอ่านข้อมูลที่เก็บข้อมูลส่วนตัว

ฉันคิดว่า Google ควรเพิ่มคุณสมบัติที่ถูกปิดใช้งานตามค่าเริ่มต้นในหมวดหมู่นักพัฒนาซอฟต์แวร์เพื่ออนุญาตการสำรองและเรียกคืนแอปผ่าน ADB

• "android: backupAgent " อนุญาตให้ใช้คุณลักษณะการสำรองข้อมูลและคืนค่าระบบคลาวด์ดังที่แสดงไว้ที่นี่และที่นี่ :

ชื่อของคลาสที่ใช้เอเจนต์การสำรองข้อมูลของแอ็พพลิเคชันซึ่งเป็นคลาสย่อยของ BackupAgent ค่าแอตทริบิวต์ควรเป็นชื่อคลาสที่ผ่านการรับรองโดยสมบูรณ์ (เช่น "com.example.project.MyBackupAgent") อย่างไรก็ตามเป็นชวเลขถ้าอักขระตัวแรกของชื่อคือจุด (ตัวอย่างเช่น ".MyBackupAgent") มันจะผนวกเข้ากับชื่อแพ็กเกจที่ระบุในองค์ประกอบ ไม่มีค่าเริ่มต้น ต้องระบุชื่อ

นี่ไม่ใช่ปัญหาด้านความปลอดภัย

สำหรับคำเตือนผ้าสำลีนี้สำหรับคำเตือนผ้าสำลีอื่น ๆ โปรดทราบว่าคุณสามารถรับคำอธิบายแบบเต็มกว่าสิ่งที่อยู่ในข้อความแสดงข้อผิดพลาดบรรทัดเดียว คุณไม่ต้องค้นหาข้อมูลเพิ่มเติมจากเว็บ

หากคุณกำลังใช้ผ้าสำลีผ่าน Eclipse ให้เปิดมุมมองคำเตือนผ้าสำลีซึ่งคุณสามารถเลือกข้อผิดพลาดของผ้าสำลีและดูคำอธิบายที่ยาวขึ้นหรือเรียกใช้การแก้ไขด่วน (Ctrl-1) บนบรรทัดข้อผิดพลาดและหนึ่งในคำแนะนำคือ " อธิบายปัญหานี้ "ซึ่งจะปรากฏขึ้นเพื่ออธิบายคำอธิบายแบบเต็ม หากคุณไม่ได้ใช้ Eclipse คุณสามารถสร้างรายงาน HTML จากผ้าสำลี ( lint --html <filename>) ซึ่งมีคำอธิบายแบบเต็มรูปแบบถัดจากคำเตือนหรือคุณสามารถขอผ้าสำลีเพื่ออธิบายปัญหาเฉพาะได้ ตัวอย่างเช่นปัญหาที่เกี่ยวข้องกับallowBackupมี ID AllowBackup(แสดงที่ส่วนท้ายของข้อความแสดงข้อผิดพลาด) ดังนั้นคำอธิบายที่สมบูรณ์กว่าคือ:

$ ./lint --show AllowBackup
AllowBackup
-----------
Summary: Ensure that allowBackup is explicitly set in the application's
manifest

Priority: 3 / 10
Severity: Warning
Category: Security

allowBackupแอตทริบิวต์กำหนดว่าข้อมูลของโปรแกรมสามารถสำรองและเรียกคืนเป็นเอกสารที่นี่

trueโดยค่าเริ่มต้นธงนี้มีการตั้งค่า เมื่อธงนี้ถูกตั้งค่าtrueข้อมูลแอพลิเคชันสามารถสำรองและเรียกคืนโดยผู้ใช้และadb backupadb restore

นี่อาจมีผลกระทบด้านความปลอดภัยสำหรับแอปพลิเคชัน adb backupอนุญาตให้ผู้ใช้ที่เปิดใช้งานการดีบัก USB เพื่อคัดลอกข้อมูลแอปพลิเคชันออกจากอุปกรณ์ เมื่อสำรองข้อมูลแล้วแอปพลิเคชันทั้งหมดสามารถอ่านได้โดยผู้ใช้ adb restoreอนุญาตให้สร้างข้อมูลแอปพลิเคชันจากแหล่งที่ระบุโดยผู้ใช้ หลังจากการคืนค่าแอปพลิเคชันไม่ควรถือว่าข้อมูลสิทธิ์การใช้งานไฟล์และการอนุญาตไดเรกทอรีถูกสร้างขึ้นโดยแอปพลิเคชันเอง

การตั้งค่าallowBackup="false"เลือกแอปพลิเคชันออกจากการสำรองและเรียกคืน

ในการแก้ไขคำเตือนนี้ตัดสินใจว่าแอปพลิเคชันของคุณควรสนับสนุนการสำรองข้อมูลและตั้งค่าไว้อย่างชัดเจนหรือไม่ android:allowBackup=(true|false)

คลิกที่นี่สำหรับข้อมูลเพิ่มเติม

นี่คือความหมายสำรองในแง่นี้จริง ๆ :

บริการสำรองข้อมูลของ Android ช่วยให้คุณสามารถคัดลอกข้อมูลแอปพลิเคชันถาวรไปยังที่จัดเก็บข้อมูล "คลาวด์" ระยะไกลเพื่อให้จุดคืนค่าสำหรับข้อมูลแอปพลิเคชันและการตั้งค่า หากผู้ใช้ทำการรีเซ็ตเป็นค่าจากโรงงานหรือแปลงเป็นอุปกรณ์ที่ใช้ระบบ Android ใหม่ระบบจะกู้คืนข้อมูลสำรองของคุณโดยอัตโนมัติเมื่อติดตั้งแอปพลิเคชันใหม่ ด้วยวิธีนี้ผู้ใช้ของคุณไม่จำเป็นต้องทำซ้ำการตั้งค่าข้อมูลหรือแอปพลิเคชันก่อนหน้า

~ นำมาจากhttp://developer.android.com/guide/topics/data/backup.html

คุณสามารถลงทะเบียนสำหรับบริการสำรองข้อมูลนี้ในฐานะนักพัฒนาซอฟต์แวร์ได้ที่นี่: https://developer.android.com/google/backup/signup.html

ชนิดของข้อมูลที่สามารถสำรองข้อมูลได้คือไฟล์ฐานข้อมูล sharedPreferences แคชและ lib โดยทั่วไปจะถูกเก็บไว้ในไดเรกทอรี /data/data/ [ชื่อของผู้ใช้] อุปกรณ์ของคุณซึ่งได้รับการป้องกันการอ่านและไม่สามารถเข้าถึงได้เว้นแต่คุณจะมีสิทธิ์ใช้งานรูท

อัปเดต : คุณสามารถดูการตั้งค่าสถานะนี้ในเอกสาร api ของBackupManager : BackupManager

นี่ไม่ได้กล่าวถึงอย่างชัดเจน แต่จากเอกสารต่อไปนี้ฉันคิดว่ามันเป็นนัยที่แอพจำเป็นต้องประกาศและใช้ BackupAgent เพื่อให้การสำรองข้อมูลสามารถทำงานได้แม้ในกรณีที่อนุญาตให้แบ็คอัปตั้งค่าเป็นจริง (ซึ่งเป็น ค่าเริ่มต้น)

http://developer.android.com/reference/android/R.attr.html#allowBackup http://developer.android.com/reference/android/app/backup/BackupManager.html http://developer.android co.th / คู่มือ / หัวข้อ / ข้อมูล / backup.html

มันเป็นเรื่องความเป็นส่วนตัว ขอแนะนำให้ผู้ใช้ไม่อนุญาตให้สำรองข้อมูลแอพหากมีข้อมูลที่ละเอียดอ่อน การเข้าถึงไฟล์สำรองข้อมูล (เช่นเมื่อandroid:allowBackup="true") มันเป็นไปได้ที่จะแก้ไข / อ่านเนื้อหาของแอพแม้ในอุปกรณ์ที่ไม่ได้รูท

โซลูชัน - ใช้android:allowBackup="false"ในไฟล์รายการ

คุณสามารถอ่านโพสต์นี้เพื่อรับข้อมูลเพิ่มเติม: แฮ็คแอพ Android โดยใช้เทคนิคการสำรองข้อมูล