OWASP MASTG Android应用备份敏感数据测试指南

背景与测试目标

在移动应用安全领域，应用备份机制可能成为敏感数据泄露的重要渠道。OWASP移动应用安全测试指南(MASTG)针对Android平台提供了专门的测试用例MASTG-TEST-0009，旨在帮助安全人员检测应用备份中可能存在的敏感信息泄露风险。

Android备份机制解析

Android系统提供了两种主要备份方式：

1. 自动备份(Auto Backup)：自Android 6.0引入，通过Google Drive自动备份应用数据
2. 键值对备份(Key/Value Backup)：通过Backup API实现的轻量级备份方案

这两种机制默认会备份应用数据目录中的共享偏好(SharedPreferences)、数据库和文件，但可能无意中包含敏感信息。

测试方法与步骤

1. 检查备份配置

首先需要审查AndroidManifest.xml中的备份配置：

<manifest ... >
    <application 
        android:allowBackup="true|false"
        android:fullBackupContent="@xml/backup_rules" >
        ...
    </application>
</manifest>

关键属性说明：

• allowBackup：控制是否允许备份(默认为true)
• fullBackupContent：指定备份排除规则的XML文件

2. 分析备份排除规则

检查res/xml/backup_rules.xml文件内容，确认是否排除了敏感数据：

<full-backup-content>
    <exclude domain="sharedpref" path="sensitive_prefs.xml"/>
    <exclude domain="database" path="encrypted.db"/>
    <exclude domain="file" path="credentials.dat"/>
</full-backup-content>

3. 实际备份测试

方法一：使用adb备份命令

adb backup -f backup.ab -noapk com.example.app

此命令会生成备份文件backup.ab，可使用工具如Android Backup Extractor进行分析。

方法二：测试自动备份

1. 启用设备自动备份功能
2. 强制触发备份：adb shell bmgr backupnow <package>
3. 从备份中提取数据检查

4. 备份内容分析

提取备份后，重点检查以下内容：

• SharedPreferences文件
• 内部存储数据库
• 缓存文件
• 外部存储文件(如果被包含)

常见风险场景

1. 凭证存储泄露：备份中包含明文用户名/密码
2. 会话信息泄露：备份中保留有效会话令牌
3. 加密密钥泄露：硬编码或不当存储的加密密钥
4. 用户隐私数据泄露：备份中包含未脱敏的个人信息

安全建议

1. 禁用非必要备份：对敏感应用设置android:allowBackup="false"
2. 精细控制备份内容：通过backup_rules.xml明确排除敏感数据
3. 加密敏感数据：即使被备份也应确保数据加密
4. 使用Android Keystore：保护加密密钥不被备份
5. 定期安全测试：将备份测试纳入常规安全测试流程

测试工具推荐

1. Android Backup Extractor：分析备份文件内容
2. MobSF：自动化移动应用安全测试框架
3. jadx：反编译APK检查备份配置

总结

备份功能虽然为用户提供了便利，但不当的实现可能导致严重的安全问题。通过MASTG-TEST-0009的系统化测试，可以有效识别和修复Android应用备份中的敏感数据泄露风险，符合OWASP MASVS-STORAGE-2的安全要求。开发团队应将备份安全纳入应用安全开发生命周期，定期进行安全评估。