Chyba zabezpečení v ES File Explorer umožňuje útočníkovi ve stejné síti ukrást jakýkoli soubor z vašeho zařízení. bude opraveno.
Aktualizace 18. 1. 2019 v 16:00 ČT: Vývojáři ES File Explorer vydali aktualizaci své aplikace, která tuto chybu zabezpečení opravuje.
ES File Explorer byl kdysi nabízen jako a Průzkumník souborů porazit, než bude odkoupen Cheetah Mobile. Aplikace byla rychle zaplavena reklamami, ale uživatelé s prémiovými verzemi aplikace ji možná nadále používali. I teď znám lidi, kteří ještě pořád použijte bezplatnou verzi aplikace s odkazem na skutečnost, že „prostě funguje“. A to navzdory skutečnosti, že existuje mnoho alternativ, které jsou také obecně lepší. MiXplorer, FX File Explorer a Solid Explorer, abychom jmenovali alespoň některé. Nyní se ukazuje, že komukoli, kdo používá ES File Explorer, může někdo ve stejné síti vzdáleně odcizit jakýkoli soubor z jeho zařízení. O zranitelnosti informoval francouzský bezpečnostní výzkumník Baptiste Robert, který vystupuje pod online pseudonymem „Elliot Alderson“ – což je odkaz na hlavního hrdinu televizního pořadu Pan Robot.
Využití (přes TechCrunch) funguje pomocí portu, který se na zařízení otevře při otevření ES File Explorer. V podstatě při každém spuštění aplikace se otevře webový server. Robert napsal proof of concept Python skript, který se dokáže připojit k mobilnímu zařízení, na kterém je spuštěna aplikace, připojit se k němu a vypsat soubory určitého typu. Poté může stáhnout kterýkoli z těchto souborů přímo z vašeho telefonu. Je to docela závažná chyba zabezpečení, protože může umožnit komukoli ve stejné síti stáhnout soubor přímo z vašeho telefonu. Může dokonce spustit aplikaci na vašem zařízení.
Naštěstí vývojáři ES File Explorer dali prohlášení AndroidPolicea ukázalo se, že zranitelnost již byla opravena.
„Opravili jsme chybu zabezpečení http a uvolnili ji. Čeká se, až trh Google projde kontrolou.“
Jakmile bude aktualizace k dispozici, vyzýváme všechny uživatele, kteří aplikaci stále používají, aby ji okamžitě aktualizovali.
Aktualizace 1: Oprava zavádění
Verze 4.1.9.9 se nyní objevuje v Obchodě Play s protokolem změn, který říká „Opravit zranitelnost http v LAN“. Pokud používáte verzi 4.1.9.7.4 nebo nižší, zkontrolujte aktualizaci.