一款流行的Android文件管理器应用似乎存在一个严重的设计缺陷,可以使同一Wi-Fi网络上的附近黑客从您的手机中下载文件。
这款名为ES File Explorer的应用程序在全球至少有1亿次下载。通过访问手机的存储空间,它可以工作,以便您可以查看,管理和共享机载文件。
但是该应用程序存在一个大问题:根据安全研究员罗伯特·巴普提斯特(Robert Baptiste)的说法,一旦激活它,您的手机也将成为开放的Web服务器,他的绰号是“艾略特·奥尔德森”。他一直在研究产品,并注意到服务器功能,可以操纵该功能来操纵该应用程序。
他在周三关于该漏洞的推文中说:“如果您至少打开一次应用程序,则连接到同一本地网络的任何人都可以从您的手机远程获取文件。”
ES File Explorer的下载量超过1亿次,是最著名的#Android文件管理器之一。
巴蒂斯特(Baptiste)上传了一个概念证明,演示了黑客如何工作。通过他编写的一段Javascript代码,您可以利用公开的Web服务器功能从目标手机中提取文件,获取已下载或安装的所有内容的列表,甚至可以通过手机远程启动其他应用程序。
当然,只有当您与目标设备位于同一Wi-Fi网络上时,该hack才会起作用。因此,某人成为该漏洞的受害者的机会仍然很小。但是,包含隐藏服务器功能的设计选择仍然令人不安。
“值得一说的,我相信这个‘功能’已经被设计来实现,”巴蒂斯特说,在Twitter的。“想象一下一个场景:我是 人,我的手机上安装了ES File Explorer。我在地铁上,以前用来连接公共Wi-Fi。'当局'可以对我使用此'功能' ”。
应用程式背后的公司ES Global并未立即回应置评请求。但是该应用程序确实包含特殊的远程文件管理功能。它经过专门设计,可让您通过同一Wi-Fi网络上的附近PC从手机访问文件。但是,仅当您打开远程文件管理功能时,才应激活它,而不是默认情况下。
标签: 文件管理