ES檔案瀏覽器被曝安全漏洞 使用者資料可能被盜

Editor發表於2019-01-24

近日,有兩名安全研究人員相繼曝光安卓應用 ES 檔案瀏覽器的漏洞攻擊手法,使用者資料可能被竊取。ES 檔案瀏覽器(ES File Explorer File Manager)是個功能完備的檔案管理工具,宣稱可於手機上提供媲美電腦桌面的檔案管理功能,支援照片、音樂、電影、檔案與程式等的管理。


ES檔案瀏覽器被曝安全漏洞 使用者資料可能被盜


該應用在 Google Play 上的安裝數量超過1億,開發商 ES Global 提到應用的全球使用者數已突破5億。


關於該漏洞,安全研究人員 Elliot Alderson 指出,每當使用者開啟應用,都會啟動 http 伺服器,在本地會開啟埠 59777。通過這個埠,攻擊者可以注入 JSON 有效負載,獲得相關使用者手機上的照片、檔案等檔案資訊,並且可以直接下載下來。


在該安全研究人員公佈成果幾小時後,另一位 Android 惡意程式研究人員 Lukas Stefanko 也介紹他在 ES 檔案瀏覽器發現的中間人攻擊(MITM)漏洞,攻擊者只需連上與使用者相同的網路,就能攔截 HTTP 流量——這主要是因為該應用未使用 HTTPS 加密傳輸協議,使得公共 Wi-Fi 使用者承擔安全風險。


目前 ES 檔案瀏覽器新版(v 4.1.9.9)已在 Google Play 上架,更新說明提到“修復區域網 http 漏洞“。國內使用者可在應用商店等渠道搜尋新版,完成應用的更新。


來源:開源中國

宣告:本網站所提供的資訊僅供參考之用,並不代表本網站贊同其觀點,也不代表本網站對其真實性負責。



更多資訊:






相關文章