慎用Wi-Fi,ES文件管理器数据洗劫一空

慎用Wi-Fi,ES文件管理器数据洗劫一空

如果您在任何Android系统的智能手机或平板电脑上使用当下流行的文件资源管理应用程序ES FileExplorer,请务必小心了:一名法国安全研究人员BaptisteRobert在该应用程序中发现了一个漏洞(被追踪为CVE-2019-6447),允许黑客访问设备上的敏感信息。他表示该漏洞存在于该应用程序的v4.1.9.7.4及更低版本中。

慎用Wi-Fi,ES文件管理器数据洗劫一空

法国网络安全研究员Baptiste Robert(Twitter:@fs0c131y)

ES文件资源管理器

ES文件资源管理器的用户基数庞大,在GooglePlay商店上安装量超过1亿次,自2014年以来,在全球范围内更是有超过4亿的下载量,是一个非常方便、快捷和高效的Android文件管理应用程序。该应用程序如此受欢迎,还在于其完全免费,包含一个升级至ES FileManager Pro的选项,能够删除广告,并提供新的功能选项。与此同时,这可能意味着存在很多易受攻击的设备。

本地网络漏洞允许黑客窃取数据

法国网络安全研究员Baptiste Robert(Twitter:@fs0c131y),在一些在线论坛上的网名为ElliotAlderson,根据他的说法,ES文件资源管理器应用程序可能包括一个在后台运行的小型隐藏Web服务器。尽管Robert并不能完全确定Web服务器存在的原因(他认为这可能与使用端口59777上的HTTP服务器将视频传输到其他应用程序有关),但他仍得出此结论,用户的设备会因此像本地网络上的任何人开发,任何与受感染设备相同网络上的黑客都可以使用连接到web服务器的开放端口来获取设备的访问权限。并使用该端口注入JSON恶意负载。

慎用Wi-Fi,ES文件管理器数据洗劫一空

一旦黑客获得了访问权限,理论上他们可以从用户Android设备上的任意文件——包括照片、视频、文本文件等,并在黑客感染的设备之间互相传送。与此同时,黑客们还可以在受感染的设备上远程启动各种应用程序。

黑客可窃取的数据类项:

  • 列出受害设备中SD卡中的所有文件;
  • 列出受害设备中的所有图片;
  • 列出受害设备中的所有视频;
  • 列出受害设备中的所有音频;
  • 列出受害设备中安装的所有应用程序;
  • 列出受害设备中安装的所有系统应用程序;
  • 列出存储在受害者设备的SD卡中的所有apk文件;
  • 获取受害设备的设备信息;
  • 从受害设备中提取文件;
  • 启动选择的应用程序;
  • 获取您选择的应用程序的图标。

尽管确实存在这一漏洞,但是黑客要想发起攻击还必须满足一个前提条件,即他们必须与受害用户处于同一网络中,如连接上同一个Wi-Fi网络。也就是说,当用户在自己的家里使用私人网络时,这种威胁其实并不算十分严重。但如果处于公共场所,如机场、咖啡店、图书馆等,且使用公共网络的话,那么风险就将成倍增加。

Robert据此开发了一个概念验证脚本,用于获取本地网络上运行ES FileExplorer的Android设备和SD卡上的数据,如下图所示:

慎用Wi-Fi,ES文件管理器数据洗劫一空

另一个本地漏洞可用于中间人攻击

在Robert披露CVE-2019-6447开放端口漏洞的大约四个小时后,ESET的Android恶意软件研究员LukasStefanko 在ES文件资源管理器中发现了另一个本地漏洞。