信息來(lái)源:FreeBuf
近日�,一款知名軟件 ES 文件管理器被曝出有重大漏洞,能夠?qū)е掠脩羰謾C(jī)上的文件泄漏給同一網(wǎng)絡(luò)下的所有用戶��。據(jù)悉ES文件管理器在Google Play上的下載次數(shù)已經(jīng)超過1億次��,用戶量非常驚人���。
國(guó)外安全研究員Elliot Alderson率先在推特上指出了該漏洞�����。他解釋稱�����,每次用戶啟動(dòng)該應(yīng)用時(shí)�,都會(huì)啟動(dòng)http 服務(wù)器,在本地會(huì)打開短褲 59777��。通過這個(gè)端口�����,攻擊者可以注入JSON有效負(fù)載�,獲得相關(guān)用戶手機(jī)上的文件信息,并且可以直接下載下來(lái)�����。
具體演示視頻如下:
慶幸的是�����,在得知該漏洞之后,ES文件管理器的開發(fā)人員很快就修復(fù)了這個(gè)漏洞���,并且及時(shí)發(fā)布了新的版本����。
目前新版本已經(jīng)在Google Play上架��,版本號(hào)為 v4.1.9.9�����,更新日志有明確提到“修復(fù)局域網(wǎng)內(nèi)http漏洞”��。建議所有使用舊版本的用戶及時(shí)更新到最新的版本�����,以防止手機(jī)中重要信息泄露��。
盡管由于特殊原因��,國(guó)內(nèi)用戶無(wú)法正常訪問Google Play去下載ES文件管理器����,但通過第三方應(yīng)用市場(chǎng)或者論壇,ES文件管理器在國(guó)內(nèi)也有著很大的用戶群�。國(guó)內(nèi)用戶可通過最新的版本號(hào)去搜索可下載的資源,盡快更新到最新的版本��,消除隱患�����。
