近日，有兩名安全研究人員相繼曝光安卓應用ES文件瀏覽器的漏洞攻擊手法，用戶數據可能被竊取。ES文件瀏覽器（ES File Explorer File Manager）是個功能完備的檔案管理工具，宣稱可於手機上提供媲美電腦桌面的檔案管理功能，支持照片、音樂、電影、文件與程序等的管理。

該應用在Google Play上的安裝數量超過1億，商ES Global提到應用的全球用戶數已突破5億。

關於該漏洞，安全研究人員Elliot Alderson指出，每當使用者打開應用，都會啟動http 服務器，在本地會打開端口59777。通過這個端口，攻擊者可以注入JSON有效負載，獲得相關用戶手機上的照片、檔案等文件信息，並且可以直接下載下來。

在該安全研究人員公佈成果幾小時後，另一位Android 惡意程式研究人員Lukas Stefanko 也介紹他在ES 文件瀏覽器發現的中間人攻擊（MITM）漏洞，攻擊者只需連上與用戶相同的網絡，就能攔截HTTP 流量——這主要是因為該應用未使用HTTPS 加密傳輸協議，使得公共Wi-Fi 用戶承擔安全風險。

目前ES 文件瀏覽器新版（v 4.1.9.9）已在Google Play 上架，更新說明提到“修復局域網http 漏洞“。國內用戶可在應用商店等渠道搜索新版，完成應用的更新。