MASTG-TEST-0216: 敏感数据未从备份中排除

概述

本测试旨在验证应用程序是否正确指示系统将敏感文件从备份中排除，通过执行应用程序数据的备份和恢复并检查哪些文件被恢复来完成。

请参阅 未排除敏感数据的备份配置参考 作为静态分析的对应部分。

安卓提供了一种启动备份守护进程以备份和恢复应用程序文件的方式，您可以使用它来验证哪些文件实际上是从备份中恢复的。

步骤

1. 启动设备。
2. 在您的设备上安装一个应用程序。
3. 启动并使用该应用程序，在各种工作流程中尽可能输入敏感数据。
4. 执行应用程序数据的备份和恢复（ 执行应用程序数据的备份和恢复）。
5. 卸载并重新安装应用程序，但不要再打开它。
6. 从备份中恢复数据并获取已恢复文件的列表。

观察

输出应包含从备份中恢复的文件列表。

评估

如果任何文件被认为是敏感的，则测试失败。

缓解措施

• 从备份中排除敏感数据

演示

MASTG-DEMO-0035: 使用 backup_rules.xml 和 adb 备份排除数据 MASTG-DEMO-0020: 使用 backup_rules.xml 和备份管理器排除数据