近日,有兩名安全研究人員相繼曝光安卓應用 ES 檔案瀏覽器的漏洞攻擊手法,使用者資料可能被竊取。ES 檔案瀏覽器(ES File Explorer File Manager)是個功能完備的檔案管理工具,宣稱可於手機上提供媲美電腦桌面的檔案管理功能,支援照片、音樂、電影、檔案與程式等的管理。
該應用在 Google Play 上的安裝數量超過1億,開發商 ES Global 提到應用的全球使用者數已突破5億。
關於該漏洞,安全研究人員 Elliot Alderson 指出,每當使用者開啟應用,都會啟動 http 伺服器,在本地會開啟埠 59777。通過這個埠,攻擊者可以注入 JSON 有效負載,獲得相關使用者手機上的照片、檔案等檔案資訊,並且可以直接下載下來。
在該安全研究人員公佈成果幾小時後,另一位 Android 惡意程式研究人員 Lukas Stefanko 也介紹他在 ES 檔案瀏覽器發現的中間人攻擊(MITM)漏洞,攻擊者只需連上與使用者相同的網路,就能攔截 HTTP 流量——這主要是因為該應用未使用 HTTPS 加密傳輸協議,使得公共 Wi-Fi 使用者承擔安全風險。
目前 ES 檔案瀏覽器新版(v 4.1.9.9)已在 Google Play 上架,更新說明提到“修復區域網 http 漏洞“。國內使用者可在應用商店等渠道搜尋新版,完成應用的更新。
來源:開源中國
宣告:本網站所提供的資訊僅供參考之用,並不代表本網站贊同其觀點,也不代表本網站對其真實性負責。
更多資訊: