ES 文件资源管理器：应用程序中的缺陷如何允许访问您的所有数据

有些人喜欢，有些人不喜欢。尽管如此，ES 文件浏览器仍然是智能手机上最受欢迎的文件浏览器之一。一位法国安全研究人员刚刚发现了一个严重缺陷，该缺陷允许第三方访问您的所有个人数据。

安卓充满文件浏览器以符合人体工程学的方式管理智能手机上的数据。ES 文件浏览器对于该营来说，它是该领域最古老的应用程序之一，而且从逻辑上讲也是迄今为止下载量最大的应用程序之一：Google Play 商店的下载量超过 1 亿次。如果您使用它，那么您已经暴露于一个严重漏洞很长时间了。

法国计算机安全专家巴蒂斯特·罗伯特（Baptiste Robert），化名埃利奥特·奥尔德森（Elliot Alderson），本周发表了多条推文，讨论流行文件管理器中发现的一个缺陷。漏洞允许任何人连接到与目标相同的网络来访问其智能手机的内容：照片、视频、个人文档、应用程序等。无法恢复形象的缺陷Es 文件浏览器经常因其广告过多而受到批评，而且还集成了英国媒体报道软件。

研究人员使用一个简单的脚本展示了如何不仅可以访问这些文件，还可以在连接到同一本地网络的另一台设备上检索它们。还可以在受害者的智能手机上远程启动应用程序。

该专家解释说，当Es File Explorer管理器启动一次时，它会连接到端口59777上的HTTP服务器。这留下了一个漏洞，允许具有足够技术知识的第三方用户利用该缺陷访问用户的个人数据。它的目标。

根据研究人员首次联系的 Techcrunch 网站，HTTP 协议是浏览器用来广播来自其他应用程序的视频的一种手段，而且还可以从其他设备（计算机、智能手机、平板电脑等）访问智能手机文件。 。

但正如您可能已经了解的那样，要使攻击成为可能，必须满足某些条件。 Es File Esplorer必须安装在目标智能手机上，并且目标智能手机必须连接到与攻击者相同的无线网络。因此，再次提醒大家，当连接到公共 WiFi 网络。

ES File Explorer 的下载量超过 100,000,000 次，是最著名的文件浏览器之一＃安卓文件管理器。
令人惊讶的是：如果您至少打开该应用程序一次，连接到同一本地网络的任何人都可以从您的手机远程获取文件https://t.co/Uv2ttQpUcN

— 艾略特·奥尔德森 (@fs0c131y)2019 年 1 月 16 日