安装数量超过1亿的Android档案管理工具遭爆含有资料窃取及中间人攻击漏洞
Robert指出,一旦使用者执行了ES File Explorer File Manager,它就会于在地端的59777埠开启一个HTTP服务器,位于同一网络中的骇客只要传送一个JSON程式,就能存取装置上的大量资讯,他已打造出一个概念性验证攻击程式,可成功地列出装置上的档案、照片、影片、程式,还能取得装置上的档案或是执行装置上的程式。
在Robert公布研究成果的几个小时之后,ESET的Android恶意程式研究人员Lukas Stefanko也说他在ES File Explorer File Manager上发现了一个中间人攻击(MITM)漏洞,骇客只要连上与该装置同样的网络,就能拦截HTTP流量。
攻击手法影片示范:
ES File Explorer Open Port Vulnerability
https://www.youtube.com/watch?v=z6hfgnPNBRE
Vulnerable Android app ES File Explorer 中间人攻击:
https://www.youtube.com/watch?v=BtLUO-ujJ7I
漏洞说明与档案:
https://github.com/fs0c131y/ESFileExplorerOpenPortVuln
原始资料:
https://techcrunch.com/…/android-app-es-file-explorer-expo…/
引用来源:
https://www.ithome.com.tw/news/128351
来源:
www.facebook.com/netwargame/photos/a.178682542180604/1962458330469674/?type=3&__xts__%5B0%5D=68.ARA_7oBTjD9jH4vqFNR7cp-Qn8msEiaQvDqOXiAFBS0Ak5qIuqgXe7ideI0hA6IGqudWe9n5ZIVWO8XYkDsYm3_oQvqyfIU-jC6Q1xJvn-UhiZHCuq-DShyd2QVKP1-w5LOP0QORphwt8r3Nv_7oEQcgADvt_xCwq538pFSoZTBWLbOqDJB0LI8m-NYuW0IWrBjmryuCMY8-8rQcGRS4fDMf4bdIt1VX88Oyv6KVa7NClSBEDIn0mS8YSw-hpWoMHyTSqBQjIFTkarY_Hr09BdFSOQaWBeu9rpeby8tFgFvu04Tr11Lc1ybDHmaeCBkhCq0_oY1NdETyAHVqI8M9Cia8Jg&__tn__=-R
缩http://bit.ly/2RZUFfg
最近好像常爆出各个 APK 有中共后门或资料收集的消息
各个 APK 也开始被检视了
像这样开源又能让大众去检视
证明安卓系统是可以安全放心使用的
有广大的高手在为大家的使用安全把关
反正手机没有情色自拍或机敏资料 也不用担心被窃取资料
大不了信用卡资讯删一删就好
或是直接买中国品牌手机 例如相机手机王者华为
就像签契约一样 一开始就同意让他们能运用你的个资
后续就不用担心东担心西 害怕哪个程式可能有危险
反正行得正坐得直 拿来玩游戏打电话文字聊聊天看看片就很爽
怕的人快删吧