免費論壇 繁體 | 簡體
Sclub交友聊天~加入聊天室當版主
分享
返回列表 回復 發帖

manifest 權限設定解析

<!--允許程式連接到已配對的藍牙設備-->
<uses-permission android:name="android.permission.BLUETOOTH" />

<!-- 允許程式發現和配對藍牙設備 -->
<uses-permission android:name="android.permission.BLUETOOTH_ADMIN" />

<!--android 6.0 涉及到的許可權--> <!--GPS權限-->
<uses-permission android:name="android.permission.ACCESS_FINE_LOCATION" />

<!--網路定位權限-->
<uses-permission android:name="android.permission.ACCESS_COARSE_LOCATION" />

<!-- 在SDCard中創建與刪除檔的許可權 -->
<uses-permission android:name="android.permission.MOUNT_UNMOUNT_FILESYSTEMS"/>

<!-- 往SDCard寫入資料的許可權 -->
<uses-permission android:name="android.permission.WRITE_EXTERNAL_STORAGE"/>

<!--android:allowBackup=“false”資料數據使用者習慣 是否可備份還原,建議false -->
android:allowBackup=“false”
https://blog.csdn.net/itluochen/article/details/52601848

今天陰差陽錯查了一下application中allowbackup屬性的作用,看了大吃一驚,allowbackup是一個是否允許備份系統和使用者資料的屬性,應因此而引發Android的安全性問題。

漏洞案例

先來看一個情景案例,某IT男一直暗戀部門某女神,一天女神手機太卡了找IT男幫助清理手機空間,IT 男高興地答應女神兩分鐘搞定,屁顛屁顛的跑到自己電腦旁邊連上手機,女神在一邊呆呆的看著IT男敲了幾行代碼然後在手機上點了幾下,最後果然兩分鐘不到就搞定了,在女神謝著離開後,IT男露出了 WS 的笑容。

漏洞背景

在穀歌 2010 年發佈 Android 2.2 Froyo
(凍優酪乳)系統中,穀歌引入一個了系統備份的功能,允許使用者備份系統應用和協力廠商應用的apk安裝包和應用資料,以便在刷機或者資料丟失後恢復應用。
協力廠商應用開發者需要在應用的 AndroidManifest.xml 檔中配置 allowBackup 標誌(預設為 true)來設置應用資料是否能能夠被備份或恢復。當這個標誌被設置為true時應用程式資料可以在手機未獲取 ROOT
的情況下通過adb調試工具來備份和恢復,這就允許惡意攻擊者在接觸使用者手機的情況下在短時間內啟動手機 USB 調試功能來竊取那些能夠受到
AllowBackup 漏洞影響的應用的資料,造成使用者隱私洩露甚至財產損失。

<!--聲明你的application是否願意支持從右到左(原來RTL就是right-to-left 的縮寫...)的佈局。-->
android:supportsRtl="true"
返回列表