避免将应用数据存储在备份中

细节

在Android或iOS设备上执行数据备份可能还会备份存储在应用程序私有目录中的敏感信息。

修复

Android

默认情况下，Android应用的清单文件中的allowBackup标志设置为true。这将导致Android备份文件（backup.ab）会包含文件系统上应用程序专用目录中包含的所有子目录和文件。因此，请明确声明allowBackup标志为false。

iOS

在安装了特定应用程序的设备上进行iTunes备份时，备份将包含所有子目录（“Caches”子目录除外）以及该应用程序的私有目录中的文件。因此，避免将任何敏感数据以明文形式存储在应用程序的私有目录或子目录中的任何文件或文件夹中（另请参见最佳实践3.1实施安全数据存储）。

参考

• OWASP Mobile Top 10: M2 - Insecure Data Storage , M4 - Unintended Data Leakage

• CWE: CWE-538 - File and Directory Information Exposure