安装数量超过1亿的Android档案管理工具，被曝含有资料窃取漏洞

　　两名安全研究人员Baptiste Robert及Lukas Stefanko在1月16日相继揭露了Android上知名的档案管理工具ES File Explorer File Manager含有安全漏洞，将允许黑客窃取用户装置上的资料及执行中间人攻击。

　　ES File Explorer File Manager是个具备完整功能的档案管理工具，宣称可于手机上提供比美桌面程序的档案管理功能，它支持照片、音乐、电影、文件与程序的管理，可存取及管理存放于装置內存、microSD、区域网络或云端上的档案，并能复制、移动、更名、删除或分享档案。该程序在Google Play上的安装数量超过1亿，开发商ES Global则说它的全球用户数已突破5亿。

　　Robert为法国的安全研究人员，他在网络上所使用的别名为Elliot Alderson，并透过Twitter、YouTube及GitHub揭露了他的发现，且该漏洞已被赋予编号CVE-2019-6447。

　　Robert指出，一旦使用者执行了ES File Explorer File Manager，它就会于在地端的59777端口开启一个HTTP服务器，位于同一网络中的黑客只要传送一个JSON程序，就能存取装置上的大量资料，他已打造出一个概念性验证攻击程序，可成功地列出装置上的档案、照片、视频、程序，还能取得装置上的档案或是执行装置上的程序。

　　在Robert公布研究成果的几个小时之后，ESET的Android恶意程式研究人员Lukas Stefanko也说他在ES File Explorer File Manager上发现了一个中间人攻击（MITM）漏洞，黑客只要连上与该装置同样的网络，就能拦截HTTP流量，这是因为该程序并未使用HTTPS加密传输协定，而是采用未加密的HTTP，让置身于公共Wi-Fi网络的使用者承受安全风险。Stefanko亦在YouTube上展示了相关的攻击行动。