MX Player錯(cuò)誤允許黑客遠(yuǎn)程訪問(wèn)設(shè)備，現(xiàn)已修復(fù)

毫無(wú)疑問(wèn)，在這一大流行期間，視頻流的統(tǒng)計(jì)數(shù)據(jù)幾乎在所有方面都有所上升，因?yàn)槲覀冎杏袛?shù)百萬(wàn)人坐在家里，一個(gè)又一個(gè)地完成這些季節(jié)。MX Player是利用它的一項(xiàng)服務(wù)。該視頻流播放器于2018年被Times Internet收購(gòu)，并于去年從中國(guó)騰訊公司籌集了數(shù)百萬(wàn)美元的資金?，F(xiàn)在發(fā)現(xiàn)該視頻流播放器存在一個(gè)漏洞，該漏洞會(huì)讓黑客遠(yuǎn)程窺探您的智能手機(jī)。正如Tenable提到的那樣，該漏洞是在該公司的Android應(yīng)用中發(fā)現(xiàn)的，該應(yīng)用已在印度數(shù)百萬(wàn)智能手機(jī)中出現(xiàn)。

根據(jù)該報(bào)告，黑客可以在等待具有MX Player功能的設(shè)備通過(guò)其文件傳輸功能接收新文件時(shí)對(duì)其進(jìn)行攻擊?！霸谶@種情況下，可以利用路徑穿越漏洞，并在某些設(shè)備上通過(guò)特制文件實(shí)現(xiàn)代碼執(zhí)行。此外，由于MX球員的轉(zhuǎn)會(huì)服務(wù)密碼作為一個(gè)藍(lán)牙設(shè)備名稱公開共享，藍(lán)牙范圍內(nèi)的未經(jīng)認(rèn)證的攻擊也利用此漏洞，”說(shuō)的能成立研究報(bào)告。

Tenable已經(jīng)向MX Player通報(bào)了該漏洞的價(jià)值，并且據(jù)報(bào)道該公司在移動(dòng)應(yīng)用程序1.24.5版中也承認(rèn)了這一漏洞?！霸谂cMX Player進(jìn)行公開的過(guò)程中，我們很少收到有關(guān)補(bǔ)丁進(jìn)度和更新的供應(yīng)商信息。在對(duì)版本進(jìn)行偶爾測(cè)試的過(guò)程中，我們發(fā)現(xiàn)路徑遍歷問(wèn)題已在v1.24.5版本中修復(fù)，” Medium上Tenable技術(shù)博客中的David Wells說(shuō)。

在撰寫本文時(shí)，MX Player已在Google Play商店中安裝了5億個(gè)。