ES 檔案總管：應用程式中的缺陷如何允許存取您的所有數據

有些人喜歡，有些人不喜歡。儘管如此，ES 文件瀏覽器仍然是智慧型手機上最受歡迎的文件瀏覽器之一。一位法國安全研究人員剛剛發現了一個嚴重缺陷，該缺陷允許第三方存取您的所有個人資料。

安卓充滿文件瀏覽器以符合人體工學的方式管理智慧型手機上的資料。ES 文件瀏覽器對於該營來說，它是該領域最古老的應用程式之一，而且從邏輯上講也是迄今為止下載量最大的應用程式之一：Google Play 商店的下載量超過 1 億次。如果您使用它，那麼您已經暴露於一個嚴重漏洞很長時間了。

法國電腦安全專家巴蒂斯特·羅伯特（Baptiste Robert），化名埃利奧特·奧爾德森（Elliot Alderson），本週發表了多條推文，討論流行文件管理器中發現的一個缺陷。漏洞允許任何人連接到與目標相同的網路來存取其智慧型手機的內容：照片、影片、個人文件、應用程式等。無法恢復形象的缺陷Es 文件瀏覽器經常因其廣告過多而受到批評，而且還整合了英國媒體報道軟體。

研究人員使用簡單的腳本展示如何不僅可以存取這些文件，還可以在連接到相同本地網路的另一台裝置上檢索它們。還可以在受害者的智慧型手機上遠端啟動應用程式。

該專家解釋說，當Es File Explorer管理器啟動一次時，它會連接到連接埠59777上的HTTP伺服器。 。

根據研究人員首次聯繫的 Techcrunch 網站，HTTP 協議是瀏覽器用來廣播來自其他應用程式的影片的一種手段，而且還可以從其他裝置（電腦、智慧型手機、平板電腦等）存取智慧型手機檔案。

但正如您可能已經了解的那樣，要使攻擊成為可能，必須滿足某些條件。 Es File Esplorer必須安裝在目標智慧型手機上，且目標智慧型手機必須連接到與攻擊者相同的無線網路。因此，再次提醒大家，當連接到公共 WiFi 網路。

ES File Explorer 的下載量超過 100,000,000 次，是最著名的文件瀏覽器之一＃安卓文件管理器。
令人驚訝的是：如果您至少打開該應用程式一次，連接到同一本地網路的任何人都可以從您的手機遠端取得文件https://t.co/Uv2ttQpUcN

— 艾略特‧奧爾德森 (@fs0c131y)2019 年 1 月 16 日