ES文件管理器存在漏洞或将影响1亿Android用户
据外媒报道,安全专家Robert Baptiste在ES文件管理器中发现了一个漏洞(CVE-2019-6447),该漏洞会暴露Android设备信息,可能影响1亿用户。ES文件管理器是一个Android文件管理器,在全球拥有5亿多用户,安装量超1亿次。Baptiste发现,ES文件管理器使用本地HTTP服务器监听59777端口。专家称,即使是关闭这个app,服务器也会一直运行,除非用户关闭该软件的所有后台。
黑客可以通过连接服务器检索设备信息,如已安装的应用程序列表。这个漏洞的可怕之处在于,远程攻击者可以从用户的设备上获取文件,也可以启动用户的应用程序。通过利用4.1.9.7.4及以下版本的ES文件管理器,远程攻击者可以利用TCP端口59777请求读取文件或执行应用程序。
这个TCP端口在ES文件管理器启动一次后便保持打开状态,并通过HTTP响应未经身份验证的应用程序或json数据。即使受害者在Android设备上不授予该应用任何权限,攻击仍然可以进行。
PoC利用码已在GitHub上发布。黑客可以借PoC从受害者的设备和SD卡上列出和下载文件,启动应用程序和查看设备信息。
在Baptiste揭露CVE-2019-6447漏洞数小时后,ESET网络安全专家Lukas Stefanko在ES文件管理器中发现了另一个漏洞。攻击者可以利用该漏洞进行中间人(MitM)攻击,使其能够拦截应用程序的HTTP流量。据称,ES文件资源管理器4.1.9.7.4及以下的版本都存在MitM漏洞。
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。
举报投诉
-
Android
+关注
关注
12文章
3974浏览量
130490 -
漏洞
+关注
关注
0文章
205浏览量
15721
原文标题:ES文件管理器漏洞可能影响1亿用户
文章出处:【微信号:EAQapp,微信公众号:E安全】欢迎添加关注!文章转载请注明出处。
发布评论请先 登录
相关推荐
热点推荐
为Linux高级用户提供的强大的文件管理器
想要为系统提供高度可定制的文件管理器?nnn 就是一个功能强大但轻量级的文件管理器,可在 Linux 终端内工作。
发表于 11-14 11:19
?2155次阅读
TouchGFX文件夹在IDE项目资源管理器中不存在是什么原因?如何解决?
的文件资源管理器中的文件结构与 STM32CubeIDE 项目资源管理器中显示的不同。例如,我的文件资源
发表于 12-05 07:05
Android智能手机内核存在漏洞
北京时间11月1日消息,据国外媒体报道,Coverity通过研究发现,Android智能手机操作系统内核存在漏洞,部分漏洞可以被黑客用来
发表于 11-01 12:03
?812次阅读
re管理器汉化版(apk文件下载)
re管理器汉化版(apk文件下载)Root Explorer(RE管理器)需要ROOT权限,新建文件夹,查看/编辑文件,软件安装,RootE
发表于 07-01 11:57
?0次下载
Android存在安全漏洞,5.0系统版本以上都存在,高达77.5%受影响
据调查指出,这项新的漏洞存在于Android 系统服务内一项名为「 MediaProjection 」媒体播放功能,属于系统级服务,主要是可用来搜集用户设备上的屏幕影像内容、声音等资讯
发表于 11-23 17:06
?1332次阅读
re管理器进入编辑文件方法
Root Explorer,R.E管理器用户量巨大,装机必备!安卓最佳文件管理器,没有之一!RE管理器原生简体中文,支持新建文件夹,多种格式
发表于 12-20 13:47
?5001次阅读
什么是re文件管理器_re管理器有什么用
Android用户很多人遇到想找到手机系统文件却找不到的情况,RE管理器就是一款手机Root后能够获得高级权限,查看手机系统文件,蓝牙
发表于 12-20 14:29
?1.9w次阅读
数据库的项目管理器是什么?项目管理器详细资料总结
项目管理器是VFP集成开发环境中的一个重要组成部分。项目是文件、数据、文档和对象的集合,项目管理器通过项目文件(.PJX和.PJT)对项目进行管理
发表于 09-18 17:43
?5次下载
Dropbox 推出密码管理器和文件库 旨在帮用户平衡家庭工作
Dropbox 推出了一系列新功能,旨在帮助用户在家庭和工作中更有条理,包括密码管理器和超级安全的文件保险库。
文件管理器与文件传输的操作方法
AnyDesk安力桌为在本地和远程端点之间文件传输,提供各种选项。这可以通过 "文件管理器"会话或通过远程控制会话中的 "文件传输 "完成。
工商网监
评论