信息來(lái)源:FreeBuf
近日�����,一款知名軟件 ES 文件管理器被曝出有重大漏洞��,能夠?qū)е掠脩羰謾C(jī)上的文件泄漏給同一網(wǎng)絡(luò)下的所有用戶����。據(jù)悉ES文件管理器在Google Play上的下載次數(shù)已經(jīng)超過(guò)1億次���,用戶量非常驚人。
國(guó)外安全研究員Elliot Alderson率先在推特上指出了該漏洞�。他解釋稱(chēng),每次用戶啟動(dòng)該應(yīng)用時(shí)����,都會(huì)啟動(dòng)http 服務(wù)器���,在本地會(huì)打開(kāi)短褲 59777��。通過(guò)這個(gè)端口���,攻擊者可以注入JSON有效負(fù)載,獲得相關(guān)用戶手機(jī)上的文件信息��,并且可以直接下載下來(lái)���。
具體演示視頻如下:
慶幸的是��,在得知該漏洞之后���,ES文件管理器的開(kāi)發(fā)人員很快就修復(fù)了這個(gè)漏洞�����,并且及時(shí)發(fā)布了新的版本�����。
目前新版本已經(jīng)在Google Play上架���,版本號(hào)為 v4.1.9.9,更新日志有明確提到“修復(fù)局域網(wǎng)內(nèi)http漏洞”�。建議所有使用舊版本的用戶及時(shí)更新到最新的版本,以防止手機(jī)中重要信息泄露���。
盡管由于特殊原因���,國(guó)內(nèi)用戶無(wú)法正常訪問(wèn)Google Play去下載ES文件管理器,但通過(guò)第三方應(yīng)用市場(chǎng)或者論壇���,ES文件管理器在國(guó)內(nèi)也有著很大的用戶群��。國(guó)內(nèi)用戶可通過(guò)最新的版本號(hào)去搜索可下載的資源�����,盡快更新到最新的版本��,消除隱患��。
