ES文件浏览器一度被吹捧为的文件浏览器击败由被收购之前猎豹移动。该应用程序很快被广告所淹没,但是那些带有高级版本的应用程序可能会继续使用它。即使是现在,我仍然知道人们仍在使用该应用程序的免费版本,理由是它“有效”。尽管有许多替代方案在整体上也更好,但事实并非如此。MiXplorer,FX File Explorer和Solid Explorer,仅举几例。现在事实证明,使用ES File Explorer的任何人都可以使同一网络上的某人远程从其设备中窃取任何文件。该漏洞由法国安全研究员巴蒂斯特·罗伯特(Baptiste Robert)报告,后者以在线笔名“埃利奥特·奥尔德森”(Elliot Alderson)来命名-提到电视节目《机器人先生》。
该漏洞(通过 TechCrunch)通过打开ES File Explorer时在设备上打开的端口进行工作。本质上,每次启动应用程序时,都会打开一个Web服务器。Robert编写了概念证明Python脚本,该脚本可以连接到运行该应用程序的移动设备,进行连接并列出某种类型的文件。然后,它可以直接从您的手机下载任何这些文件。这是一个非常严重的漏洞,因为它可能允许同一网络上的任何人直接从您的手机下载文件。它甚至还可以在您的设备上启动应用程序。
值得庆幸的是,ES File Explorer的开发人员向AndroidPolice 发出了声明, 事实证明该漏洞已得到修复。
更新发布后,我们敦促所有仍在使用该应用程序的用户立即对其进行更新。