据外媒报道,法国安全专家Robert Baptiste(Twitter ID:Elliot Alderson)在ES文件浏览器(ES File Explorer)中发现了一个严重的安全漏洞(CVE-2019-6447),该漏洞可能会暴露数亿Android用户的敏感数据。"
ES文件浏览器是一款深受广大Android用户欢迎的文件管理工具,这不仅来源于它的使用方便和功能强大,而且还来源于它的完全免费。根据ES文件浏览器开发方的说法,这款文件管理工具,在GooglePlay商店上的下载量早已超过1亿,在全球范围内更是拥有超过4亿的下载量。
漏洞允许攻击者窃取数据,即使APP关闭
Robert Baptiste发现,ES文件浏览器APP会使用本地HTTP服务器来监听开放端口59777。
但即使APP已经关闭,服务器仍将一直运行,直到用户将终止所有与ES文件浏览器相关的的后台服务。
如此一来,攻击者就可以连接到该服务器并检索与设备相关的信息,包括已安装的APP列表。事实上,这个漏洞最可怕的地方在于,远程攻击者可以从受害者的设备上窃取文件,并在手机上启动任意APP。
“v4.1.9.7.4及更低版本的Android版ES文件浏览器,允许远程攻击者通过本地Wi-Fi网络上的TCP端口59777请求来读取任意文件或启动任意APP。”
Robert Baptiste解释说,“ES文件浏览器APP在启动一次之后,这个TCP端口将一直保持打开状态,并响应所有未经验证的APP/JSON HTTP上的数据。”
Robert Baptiste还表示,即使受害者没有在Android设备上授予该APP任何权限,这种攻击也仍然会生效。
POC代码已发布,可窃取数据、启动APP
Robert Baptiste目前已经通过GitHub发布了一段PoC代码,可被处于受害者相同Wi-Fi网络下的攻击者用来列出并下载受害者设备或SD卡中的文件,以及启动任意APP或查看与设备相关的信息。
具体来讲,攻击者可以利用Robert Baptiste的PoC代码进行如下操作:
列出受害者设备SD卡中的所有文件;
列出受害者设备中的所有图片;
列出受害者设备中的所有视频;
列出受害者设备中的所有音频;
列出受害者设备中已安装的所有APP;
列出受害者设备中安装的所有系统APP;
列出存储在受害者设备SD卡中的所有apk文件;
获取与受害者设备相关的信息;
从受害者设备下载文件;
启动任意APP;
获取任意APP的图标。
另一个漏洞可用于中间人(MitM)攻击
据恶意软件研究技术网站Bleeping Computer报道,仅在Robert Baptiste公开披露了CVE-2019-6447漏洞后的几个小时里,来自网络安全公司ESET的安全专家Lukas Stefanko就宣布在ES文件浏览器中发现另一个本地漏洞。
潜在的本地攻击者可以利用这个漏洞来执行中间人(Man-In-The-Middle,MitM)攻击,拦截ES文件浏览器APP的HTTP网络流量,并将其与自己的网络进行切换。
Lukas Stefanko表示,v4.1.9.7.4及更低版本的Android版ES文件浏览器都受这个MitM漏洞的影响。
网友评论