據外媒報道,法國安全專家Robert Baptiste(Twitter ID:Elliot Alderson)在ES文件瀏覽器(ES File Explorer)中發現了一個嚴重的安全漏洞(CVE-2019-6447),該漏洞可能會暴露數億Android用戶的敏感數據。"
ES文件瀏覽器是一款深受廣大Android用戶歡迎的文件管理工具,這不僅來源於它的使用方便和功能強大,而且還來源於它的完全免費。根據ES文件瀏覽器開發方的說法,這款文件管理工具,在GooglePlay商店上的下載量早已超過1億,在全球範圍內更是擁有超過4億的下載量。
漏洞允許***者竊取數據,即使APP關閉
Robert Baptiste發現,ES文件瀏覽器APP會使用本地HTTP服務器來監聽開放端口59777。
但即使APP已經關閉,服務器仍將一直運行,直到用戶將終止所有與ES文件瀏覽器相關的的後臺服務。
如此一來,***者就可以連接到該服務器並檢索與設備相關的信息,包括已安裝的APP列表。事實上,這個漏洞最可怕的地方在於,遠程***者可以從受害者的設備上竊取文件,並在手機上啓動任意APP。
“v4.1.9.7.4及更低版本的Android版ES文件瀏覽器,允許遠程***者通過本地Wi-Fi網絡上的TCP端口59777請求來讀取任意文件或啓動任意APP。” Robert Baptiste解釋說,“ES文件瀏覽器APP在啓動一次之後,這個TCP端口將一直保持打開狀態,並響應所有未經驗證的APP/JSON HTTP上的數據。”
Robert Baptiste還表示,即使受害者沒有在Android設備上授予該APP任何權限,這種***也仍然會生效。
POC代碼已發佈,可竊取數據、啓動APP
Robert Baptiste目前已經通過GitHub發佈了一段PoC代碼,可被處於受害者相同Wi-Fi網絡下的***者用來列出並下載受害者設備或SD卡中的文件,以及啓動任意APP或查看與設備相關的信息。
具體來講,***者可以利用Robert Baptiste的PoC代碼進行如下操作:
列出受害者設備SD卡中的所有文件;
列出受害者設備中的所有圖片;
列出受害者設備中的所有視頻;
列出受害者設備中的所有音頻;
列出受害者設備中已安裝的所有APP;
列出受害者設備中安裝的所有系統APP;
列出存儲在受害者設備SD卡中的所有apk文件;
獲取與受害者設備相關的信息;
從受害者設備下載文件;
啓動任意APP;
獲取任意APP的圖標。
另一個漏洞可用於中間人(MitM)***
據惡意軟件研究技術網站Bleeping Computer報道,僅在Robert Baptiste公開披露了CVE-2019-6447漏洞後的幾個小時裏,來自網絡安全公司ESET的安全專家Lukas Stefanko就宣佈在ES文件瀏覽器中發現另一個本地漏洞。
潛在的本地***者可以利用這個漏洞來執行中間人(Man-In-The-Middle,MitM)***,攔截ES文件瀏覽器APP的HTTP網絡流量,並將其與自己的網絡進行切換。
Lukas Stefanko表示,v4.1.9.7.4及更低版本的Android版ES文件瀏覽器都受這個MitM漏洞的影響。