Що таке "android: enableBackup"?

Оскільки нова версія попереднього перегляду ADT (версія 21) , у них з'являється нове попередження про вказівку, яке повідомляє мені про наступне у файлі маніфесту (у тезі програми):

Слід чітко встановити android: enableBackup на true або false (це істинно за замовчуванням, і це може мати певні наслідки для безпеки даних програми)

На офіційному веб-сайті вони написали:

Кілька нових перевірок: ви повинні чітко вирішити, чи дозволяє ваша програма створювати резервні копії та перевірити мітку. Новий прапор командного рядка для налаштування шляху бібліотеки. Під час редагування багато вдосконалених покрокових аналізів ворсинок.

Що це за застереження? Що таке функція резервного копіювання і як її використовувати?

Крім того, чому попередження говорить мені, що це має наслідки для безпеки? Які недоліки та переваги відключення цієї функції?

Існує дві концепції резервного копіювання для маніфесту:

• "android: enableBackup " дозволяє створити резервну копію та відновити через adb, як показано тут :

Дозволити програмі брати участь у резервній копії та відновленні інфраструктури. Якщо для цього атрибута встановлено значення "false", резервне копіювання або відновлення програми ніколи не буде виконано, навіть за допомогою повної системи резервного копіювання, яка в іншому випадку призведе до збереження всіх даних програми через adb. Значення цього атрибуту за замовчуванням є істинним.

Це вважається проблемою безпеки, оскільки люди можуть створити резервну копію вашої програми через ADB, а потім отримати приватні дані вашої програми на свій ПК.

Однак я думаю, що це не проблема, оскільки більшість користувачів не знають, що таке adb, і якщо вони будуть, вони також будуть знати, як викорінити пристрій. Функції ADB працюватимуть лише в тому випадку, якщо на пристрої ввімкнена функція налагодження, і для цього потрібен користувач.

Так, це вплине лише на користувачів, які підключають свої пристрої до ПК та включають функцію налагодження. Якщо на їхньому ПК є шкідливий додаток, який використовує засоби ADB, це може бути проблематично, оскільки програма може читати дані приватного зберігання.

Я думаю, що Google повинен просто додати функцію, відключену за замовчуванням, до категорії розробників, щоб дозволити резервне копіювання та відновлення програм через ADB.

• "android: backupAgent " дозволяє використовувати функцію резервного копіювання та відновлення хмари, як показано тут і тут :

Назва класу, який реалізує, є резервним агентом програми, підкласом BackupAgent. Значенням атрибута має бути повністю кваліфіковане ім’я класу (наприклад, "com.example.project.MyBackupAgent"). Однак, як скорочення, якщо перший символ імені є періодом (наприклад, ".MyBackupAgent"), він додається до імені пакета, зазначеного в елементі. За замовчуванням немає. Ім'я має бути вказане.

Це не проблема безпеки.

Для цього попередження про ворсинки, як і для всіх інших попереджень про ворсинки, зауважте, що ви можете отримати більш повне пояснення, ніж те, що є в одному рядку повідомлення про помилку; не потрібно шукати в Інтернеті додаткову інформацію.

Якщо ви використовуєте lint через Eclipse, відкрийте подання попередження про ворсинку, де ви можете вибрати помилку ворсу і переглянути більш тривале пояснення, або попросіть швидке виправлення (Ctrl-1) у рядку помилок, і одна з пропозицій - " Поясніть це питання ", де також з’явиться більш повне пояснення. Якщо ви не використовуєте Eclipse, ви можете створити HTML-звіт із lint ( lint --html <filename>), який містить повні пояснення поруч із попередженнями, або ви можете попросити lint пояснити певну проблему. Наприклад, проблема, що стосується, allowBackupмає ідентифікатор AllowBackup(показаний наприкінці повідомлення про помилку), тому більш повне пояснення:

$ ./lint --show AllowBackup
AllowBackup
-----------
Summary: Ensure that allowBackup is explicitly set in the application's
manifest

Priority: 3 / 10
Severity: Warning
Category: Security

allowBackupАтрибут визначає , є дані додатка можуть бути збережені і відновлені, як описано тут .

За замовчуванням для цього прапора встановлено значення true. Якщо цей прапор встановлений true, дані програми можуть бути створені резервними копіями та відновлені користувачем за допомогою adb backupта adb restore.

Це може мати наслідки для безпеки для програми. adb backupдозволяє користувачам, які включили налагодження USB, копіювати дані програми з пристрою. Після резервного копіювання користувач може прочитати всі дані програми. adb restoreдозволяє створювати дані програми з джерела, вказаного користувачем. Після відновлення програми не повинні вважати, що дозволи, дані, дозволи та каталог створені самою програмою.

Налаштування allowBackup="false"вибирає додаток із резервного копіювання та відновлення.

Щоб виправити це попередження, вирішіть, чи повинна ваша програма підтримувати резервне копіювання та встановити явно android:allowBackup=(true|false)

Клацніть тут для отримання додаткової інформації

Ось що насправді означає резервне копіювання:

Служба резервного копіювання Android дозволяє копіювати постійні дані програми у віддалене "хмарне" сховище, щоб забезпечити точку відновлення даних та налаштувань програми. Якщо користувач виконує заводські скидання або перетворює на новий пристрій під керуванням Android, система автоматично відновлює ваші резервні дані при повторній інсталяції програми. Таким чином, вашим користувачам не потрібно відтворювати свої попередні дані чи налаштування програми.

~ Взяте з http://developer.android.com/guide/topics/data/backup.html

Ви можете зареєструватися для цієї послуги резервного копіювання як розробник тут: https://developer.android.com/google/backup/signup.html

Тип даних, які можна створити для резервного копіювання, - це файли, бази даних, sharedPreferences, кеш і lib. Вони, як правило, зберігаються у каталозі /data/data/ evidencecom.myapp] вашого пристрою, який захищений від читання і не можна отримати доступ, якщо у вас немає root прав.

ОНОВЛЕННЯ : Цей прапор можна побачити у списку api doc BackupManager : BackupManager

Це прямо не згадується, але виходячи з наступних документів, я думаю, мається на увазі, що додатку потрібно декларувати та реалізовувати BackupAgent для того, щоб резервне копіювання даних працювало, навіть у випадку, коли для параметраBiBup встановлено значення true (що є значення за замовчуванням).

http://developer.android.com/reference/android/R.attr.html#allowBackup http://developer.android.com/reference/android/app/backup/BackupManager.html http://developer.android. com / довідник / теми / дані / backup.html

Це стосується конфіденційності . Рекомендується заборонити користувачам робити резервну копію програми, якщо вона містить конфіденційні дані. Маючи доступ до файлів резервного копіювання (тобто коли android:allowBackup="true"), можна змінювати / читати вміст програми навіть на не вкоріненому пристрої.

Рішення - використання android:allowBackup="false"у файлі маніфесту.

Ви можете прочитати цю публікацію, щоб отримати додаткову інформацію: Злом додатків Android за допомогою методів резервного копіювання