安裝數量超過1億的Android檔案管理工具遭爆含有資料竊取及中間人攻擊漏洞

兩名安全研究人員Baptiste Robert及Lukas Stefanko在1月16日相繼揭露了Android上知名的檔案管理工具ES File Explorer File Manager含有安全漏洞將允許駭客竊取用戶裝置上的資訊及執行中間人攻擊

ES File Explorer File Manager是個具備完整功能的檔案管理工具,宣稱可於手機上提供比美桌面程式的檔案管理功能,它支援照片、音樂、電影、文件與程式的管理,可存取及管理存放於裝置記憶體、microSD、區域網路或雲端上的檔案,並能複製、移動、更名、刪除或分享檔案。該程式在Google Play上的安裝數量超過1億,開發商ES Global則說它的全球用戶數已突破5億。

Robert為法國的資安研究人員,他在網路上所使用的別名為Elliot Alderson,並透過TwitterYouTubeGitHub揭露了他的發現,且該漏洞已被賦予編號CVE-2019-6447。

Robert指出,一旦使用者執行了ES File Explorer File Manager,它就會於在地端的59777埠開啟一個HTTP伺服器,位於同一網路中的駭客只要傳送一個JSON程式,就能存取裝置上的大量資訊,他已打造出一個概念性驗證攻擊程式,可成功地列出裝置上的檔案、照片、影片、程式,還能取得裝置上的檔案或是執行裝置上的程式。

在Robert公布研究成果的幾個小時之後,ESET的Android惡意程式研究人員Lukas Stefanko也說他在ES File Explorer File Manager上發現了一個中間人攻擊(MITM)漏洞,駭客只要連上與該裝置同樣的網路,就能攔截HTTP流量,這是因為該程式並未使用HTTPS加密傳輸協定,而是採用未加密的HTTP,讓置身於公共Wi-Fi網路的使用者承受安全風險。Stefanko亦在YouTube上展示了相關的攻擊行動。

ES Global準備在這一兩天更新ES File Explorer File Manager以修補漏洞。

原文來自 iThome Online