信息來源：FreeBuf

近日，一款知名軟件 ES 文件管理器被曝出有重大漏洞，能夠?qū)е掠脩羰謾C(jī)上的文件泄漏給同一網(wǎng)絡(luò)下的所有用戶。據(jù)悉ES文件管理器在Google Play上的下載次數(shù)已經(jīng)超過1億次，用戶量非常驚人。

國外安全研究員Elliot Alderson率先在推特上指出了該漏洞。他解釋稱，每次用戶啟動該應(yīng)用時，都會啟動http 服務(wù)器，在本地會打開短褲 59777。通過這個端口，攻擊者可以注入JSON有效負(fù)載，獲得相關(guān)用戶手機(jī)上的文件信息，并且可以直接下載下來。

具體演示視頻如下：

慶幸的是，在得知該漏洞之后，ES文件管理器的開發(fā)人員很快就修復(fù)了這個漏洞，并且及時發(fā)布了新的版本。

目前新版本已經(jīng)在Google Play上架，版本號為 v4.1.9.9，更新日志有明確提到“修復(fù)局域網(wǎng)內(nèi)http漏洞”。建議所有使用舊版本的用戶及時更新到最新的版本，以防止手機(jī)中重要信息泄露。

盡管由于特殊原因，國內(nèi)用戶無法正常訪問Google Play去下載ES文件管理器，但通過第三方應(yīng)用市場或者論壇，ES文件管理器在國內(nèi)也有著很大的用戶群。國內(nèi)用戶可通過最新的版本號去搜索可下載的資源，盡快更新到最新的版本，消除隱患。