ES 文件浏览器被曝安全漏洞，用户资料可能被盗

内容简介：近日，有两名安全研究人员相继曝光安卓应用 ES 文件浏览器的漏洞攻击手法，用户数据可能被窃取。 ES 文件浏览器（ES File Explorer File Manager）是个功能完备的档案管理工具，宣称可于手机上提供媲美电脑桌面的...

近日，有两名安全研究人员相继曝光安卓应用 ES 文件浏览器的漏洞攻击手法，用户数据可能被窃取。

ES 文件浏览器（ES File Explorer File Manager）是个功能完备的档案管理工具，宣称可于手机上提供媲美电脑桌面的档案管理功能，支持照片、音乐、电影、文件与程序等的管理。该应用在 Google Play 上的安装数量超过1亿，开发商 ES Global 提到应用的全球用户数已突破5亿。

关于该漏洞，安全研究人员 Elliot Alderson 指出，每当使用者打开应用，都会启动 http 服务器，在本地会打开端口 59777。通过这个端口，攻击者可以注入 JSON 有效负载，获得相关用户手机上的照片、档案等文件信息，并且可以直接下载下来。

在该安全研究人员公布成果几小时后，另一位 Android 恶意程式研究人员 Lukas Stefanko 也介绍他在 ES 文件浏览器发现的中间人攻击（MITM）漏洞，攻击者只需连上与用户相同的网络，就能拦截 HTTP 流量——这主要是因为该应用未使用 HTTPS 加密传输协议，使得公共 Wi-Fi 用户承担安全风险。

目前 ES 文件浏览器新版（v 4.1.9.9）已在 Google Play 上架，更新说明提到“修复局域网 http 漏洞“。国内用户可在应用商店等渠道搜索新版，完成应用的更新。

以上所述就是小编给大家介绍的《ES 文件浏览器被曝安全漏洞，用户资料可能被盗》，希望对大家有所帮助，如果大家有任何疑问请给我留言，小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持！

查看所有标签

猜你喜欢:

• ES 文件浏览器被曝安全漏洞，用户资料可能被盗
• Reddit 遭黑客入侵 部分用户资料曝光
• Quora 遭黑客攻击，约 1 亿用户资料被窃取
• 多维安全漏洞治理，提升安全运营能力
• [浏览器安全漏洞一] dll劫持漏洞
• 自来水厂控制系统安全风险和安全漏洞解析

本站部分资源来源于网络，本站转载出于传递更多信息之目的，版权归原作者或者来源机构所有，如转载稿涉及版权问题，请联系我们。