[Opdatering: Løs udrulning] ES File Explorer sårbarhed gør det muligt for en angriber på det samme netværk at få fat i enhver fil fra din telefon, men det vil blive rettet

En sårbarhed i ES File Explorer gør det muligt for en hacker på det samme netværk at stjæle enhver fil fra din enhed. Det vil blive rettet.

Opdatering 18-01-19 @ 16:00 CT: Udviklerne af ES File Explorer har udsendt en opdatering til deres app, der løser sårbarheden.

ES File Explorer blev engang udråbt som det filudforsker at slå, før den bliver købt ud af Gepard mobil. Applikationen blev hurtigt oversvømmet med reklamer, men dem med premium-versioner af applikationen kan have fortsat med at bruge den. Selv nu kender jeg folk, der stadig brug den gratis version af applikationen, med henvisning til det faktum, at det "bare virker." Det er på trods af, at der er mange alternativer, som også bare er bedre over hele linjen. MiXplorer, FX File Explorer og Solid Explorer, bare for at nævne nogle få. Nu viser det sig, at enhver, der bruger ES File Explorer, kan få enhver fil stjålet fra deres enhed eksternt af nogen på det samme netværk. Sårbarheden blev rapporteret af den franske sikkerhedsforsker Baptiste Robert, som går under online-pseudonymet "Elliot Alderson" - en reference til hovedpersonen i tv-programmet Mr. Robot.

Udnyttelsen (via TechCrunch) fungerer af en port, der åbnes på enheden, når ES File Explorer åbnes. I det væsentlige, hver gang du starter programmet, åbnes en webserver. Robert skrev et proof of concept Python-script, der kan oprette forbindelse til en mobilenhed, der kører appen, oprette forbindelse til den og liste filer af en bestemt type. Det kan derefter downloade enhver af disse filer direkte fra din telefon. Det er en ret alvorlig sårbarhed, da den kan give alle på det samme netværk mulighed for at downloade en fil direkte fra din telefon. Det kan endda også starte en app på din enhed.

Heldigvis gav udviklerne af ES File Explorer en erklæring til Android Politiog det viser sig, at sårbarheden allerede er rettet.

"Vi har rettet http-sårbarhedsproblemet og frigivet det. Venter på, at Google-markedet skal bestå anmeldelsen."

Når opdateringen er ude, opfordrer vi alle brugere, der stadig bruger applikationen, til at opdatere den med det samme.


Opdatering 1: Rette udrulning

Version 4.1.9.9 rulles nu ud i Play Butik med en ændringslog, der siger "Løs http-sårbarhed i LAN." Hvis du er på version v4.1.9.7.4 eller derunder, skal du søge efter en opdatering.