「android：allowBackup」とは何ですか？

以来新しいADTプレビュー版（バージョン21） 、彼らは私に（アプリケーションタグで）マニフェストファイルに次の事を伝え、新たな糸くずの警告があります。

android：allowBackupを明示的にtrueまたはfalseに設定する必要があります（デフォルトではtrueであり、アプリケーションのデータにセキュリティ上の影響がある可能性があります）

では、公式ウェブサイト、彼らが書きました：

いくつかの新しいチェック：アプリがバックアップを許可するかどうか、およびラベルチェックを明示的に決定する必要があります。ライブラリパスを設定するための新しいコマンドラインフラグがあります。編集中の増分lint分析に対する多くの改善。

この警告は何ですか？バックアップ機能とは何ですか？どのように使用しますか？

また、警告がセキュリティに影響することを警告するのはなぜですか？この機能を無効にすることの欠点と利点は何ですか？

マニフェストのバックアップには2つの概念があります。

• 「android：allowBackup」は、次に示すように、adbを介してバックアップと復元を許可します。

アプリケーションがバックアップおよび復元インフラストラクチャに参加できるようにするかどうか。この属性がfalseに設定されている場合、アプリケーションのバックアップまたは復元は、すべてのアプリケーションデータがadb経由で保存されるシステム全体のバックアップによっても実行されません。この属性のデフォルト値はtrueです。

これは、ADBを介してアプリをバックアップし、アプリのプライベートデータをPCに取り込むことができるため、セキュリティの問題と見なされます。

ただし、ほとんどのユーザーはadbが何であるかを知らないため、問題ではないと思います。知っていれば、デバイスのルート権限を取得する方法も知っています。ADB機能は、デバイスでデバッグ機能が有効になっている場合にのみ機能します。これには、ユーザーがそれを有効にする必要があります。

したがって、デバイスをPCに接続してデバッグ機能を有効にするユーザーのみが影響を受けます。PCにADBツールを使用する悪意のあるアプリがある場合、アプリがプライベートストレージデータを読み取る可能性があるため、これは問題となる可能性があります。

Googleは、ADBを介したアプリのバックアップと復元を許可するために、デフォルトで無効になっている機能を開発者カテゴリに追加するだけでよいと思います。

• 「android：backupAgent」は、こことここに示されているように、クラウドのバックアップと復元機能の使用を許可します。

実装するクラスの名前は、アプリケーションのバックアップエージェントであり、BackupAgentのサブクラスです。属性値は完全修飾クラス名（ "com.example.project.MyBackupAgent"など）である必要があります。ただし、省略形として、名前の最初の文字がピリオド（たとえば、「。MyBackupAgent」）の場合、要素で指定されたパッケージ名に追加されます。デフォルトはありません。名前を指定する必要があります。

これはセキュリティの問題ではありません。

このlintの警告については、他のすべてのlintの警告と同様に、1行のエラーメッセージの内容よりも詳しい説明が得られることに注意してください。詳細をウェブで検索する必要はありません。

Eclipse経由でlintを使用している場合は、lintの警告ビューを開いて、lintエラーを選択して詳細な説明を表示するか、エラー行でクイックフィックス（Ctrl-1）を呼び出します。この問題を説明してください」と表示され、詳細な説明が表示されます。Eclipseを使用していない場合は、lint（lint --html <filename>）からHTMLレポートを生成して、警告の横に完全な説明を含めるか、lintに特定の問題の説明を依頼できます。たとえば、関連する問題にallowBackupはID AllowBackup（エラーメッセージの最後に表示）があるため、完全な説明は次のとおりです。

$ ./lint --show AllowBackup
AllowBackup
-----------
Summary: Ensure that allowBackup is explicitly set in the application's
manifest

Priority: 3 / 10
Severity: Warning
Category: Security

ここでallowBackup説明するように、この属性は、アプリケーションのデータをバックアップおよび復元できるかどうかを決定します。

デフォルトでは、このフラグはに設定されていtrueます。このフラグが設定されている場合true、アプリケーションデータは、ユーザによってバックアップされ、復元することができる使用adb backupとadb restore。

これは、アプリケーションにセキュリティ上の影響を与える可能性があります。adb backupUSBデバッグを有効にしたユーザーは、デバイスからアプリケーションデータをコピーできます。バックアップすると、すべてのアプリケーションデータをユーザーが読み取ることができます。adb restoreユーザーが指定したソースからアプリケーションデータを作成できます。復元後、アプリケーションは、データ、ファイルのアクセス許可、およびディレクトリのアクセス許可がアプリケーション自体によって作成されたと想定しないでください。

設定allowBackup="false"すると、アプリケーションがバックアップと復元の両方からオプトアウトされます。

この警告を修正するには、アプリケーションがバックアップをサポートし、明示的に設定する必要があるかどうかを決定します android:allowBackup=(true|false)

こちらをクリック詳しい情報

これは、この意味でのバックアップが実際に意味するものです。

Androidのバックアップサービスでは、アプリケーションデータと設定の復元ポイントを提供するために、永続的なアプリケーションデータをリモートの「クラウド」ストレージにコピーできます。ユーザーが出荷時設定にリセットしたり、Android搭載の新しいデバイスに変換したりすると、アプリケーションが再インストールされるときに、システムは自動的にバックアップデータを復元します。これにより、ユーザーは以前のデータやアプリケーション設定を再現する必要がなくなります。

〜http ： //developer.android.com/guide/topics/data/backup.htmlから取得

このバックアップサービスには、https：//developer.android.com/google/backup/signup.htmlで開発者として登録でき ます。

バックアップできるデータのタイプは、ファイル、データベース、sharedPreferences、キャッシュ、およびlibです。これらは通常、デバイスの/data/data/[com.myapp]ディレクトリに保存されます。このディレクトリは読み取り保護されており、root権限がないとアクセスできません。

更新：このフラグは、BackupManagerのapi doc：BackupManagerにリストされています。

これは明示的には言及されていませんが、次のドキュメントに基づいて、データのバックアップが機能するためには、allowBackupがtrueに設定されている場合でも（アプリがデフォルト値）。

http://developer.android.com/reference/android/R.attr.html#allowBackup http://developer.android.com/reference/android/app/backup/BackupManager.html http://developer.android。 com / guide / topics / data / backup.html

それはプライバシーの懸念。アプリに機密データが含まれている場合は、ユーザーがアプリをバックアップできないようにすることをお勧めします。バックアップファイルにアクセスできる場合（つまり、の場合android:allowBackup="true"）、ルート権限を取得していないデバイスでも、アプリのコンテンツを変更/読み取ることができます。

解決策- android:allowBackup="false"マニフェストファイルで使用します。

詳細については、この投稿をご覧ください： バックアップ手法を使用したAndroidアプリのハッキング