IT業界資訊媒體

【Android用家留意】檔案管理工具 ES File Explorer 發現漏洞

全球最受歡迎 App 之一、下載次數高 5 億嘅檔案管理工具 ES File Explorer File Manager 上周先後被兩位研究員揭發存在漏洞,允許攻擊者竊取用戶裝置上的資訊及執行中間人攻擊。

ES File Explorer File Manager 為功能完備的檔案管理工具,支援照片、音樂、電影、文件與程式的管理,可存取及管理存放於裝置記憶體、microSD、區域網路或雲端上的檔案,並能複製、移動、更名、刪除或分享檔案。ES File Explorer File Manager 向來備受用戶愛戴,據稱在 Google Play 下載次數高 5 億,是全球其一個最受歡迎的檔案管理工具。

法國研究員  Robert Baptiste (akaElliot Alderson) 於上周揭發存有漏洞,Robert 於其TwitterYouTube GitHub 發表報告,展示此漏洞,並將滴洞編號為 CVE-2019-6447Baptiste 指出,當用戶於在地網絡執行 ES File Explorer File Manager 時,會於背後執行一個 HTTP 伺服器,若攻擊者於同一網路傳送一個 JSON 程式,就可以能存取裝置上的大量資訊,甚至可於受害裝置安裝應用程式。

接近同一時間,另一位研究員 Lukas Stefanko 亦發布了 ES File Explorer File Manager,指出攻擊者只需與受害裝置連上同一網路,就能攔截 HTTP 流量。原因是該程式採用未加密的 HTTP,故容許攻擊者進行執行中間人攻擊(Man-in-the-middle attack),如用公共 Wi-Fi 將受極大威脅。

據悉,ES Global 準備盡快更新 ES File Explorer File Manager 以修補漏洞。

資料來源:http://bit.ly/2CynwNV