[Актуализация: Разпространяване на корекция] Уязвимостта на ES File Explorer позволява на нападател в същата мрежа да вземе всеки файл от телефона ви, но тя ще бъде коригирана

Уязвимост в ES File Explorer позволява на нападател в същата мрежа да открадне всеки файл от вашето устройство. Ще се поправи.

Актуализация на 18.01.19 @ 16:00 CT: Разработчиците на ES File Explorer издадоха актуализация на своето приложение, която коригира уязвимостта.

ES File Explorer някога беше рекламиран като на File Explorer, който да победите, преди да бъде закупен от Cheetah Mobile. Приложението бързо беше залято от реклами, но тези с премиум версии на приложението може да са продължили да го използват. Дори и сега познавам хора, които все още използвайте безплатната версия на приложението, позовавайки се на факта, че то „просто работи“. Това е въпреки факта, че има много алтернативи, които също са просто по-добри навсякъде. MiXplorer, FX File Explorer и Solid Explorer, само за да назовем няколко. Сега се оказва, че всеки, който използва ES File Explorer, може да открадне всеки файл от устройството си дистанционно от някой в ​​същата мрежа. Уязвимостта беше докладвана от френския изследовател по сигурността Баптист Робърт, който носи онлайн псевдонима „Elliot Alderson“ – препратка към главния герой на телевизионното шоу Mr. Robot.

Експлойтът (чрез TechCrunch) работи чрез порт, който се отваря на устройството, когато се отвори ES File Explorer. По същество всеки път, когато стартирате приложението, се отваря уеб сървър. Робърт написа доказателство за концептуалния Python скрипт, който може да се свърже с мобилно устройство, работещо с приложението, да се свърже с него и да изведе списък с файлове от определен тип. След това може да изтегли някой от тези файлове директно от телефона ви. Това е доста сериозна уязвимост, тъй като може да позволи на всеки в същата мрежа да изтегли файл направо от телефона ви. Може дори да стартира приложение и на вашето устройство.

За щастие, разработчиците на ES File Explorer дадоха изявление на AndroidPoliceи се оказва, че уязвимостта вече е отстранена.

„Поправихме проблема с http уязвимостта и го пуснахме. Изчакваме пазарът на Google да премине прегледа."

След като актуализацията излезе, призоваваме всички потребители, които все още използват приложението, да го актуализират незабавно.


Актуализация 1: Разпространяване на корекция

Версия 4.1.9.9 вече се разпространява в Play Store с регистър на промените, който гласи „Коригирайте http уязвимостта в LAN“. Ако сте на версия v4.1.9.7.4 или по-ниска, проверете за актуализация.