Eine Schwachstelle im ES File Explorer ermöglicht es einem Angreifer im selben Netzwerk, beliebige Dateien von Ihrem Gerät zu stehlen. Es wird behoben.
Update 18.01.19 um 16:00 Uhr CT: Die Entwickler von ES File Explorer haben ein Update für ihre App herausgegeben, das die Schwachstelle behebt.
ES File Explorer wurde einst als angepriesen Die Datei-Explorer, den es zu schlagen gilt, bevor er aufgekauft wird Geparden-Mobile. Die Anwendung wurde schnell mit Werbung überschwemmt, aber diejenigen mit Premium-Versionen der Anwendung haben sie möglicherweise weiterhin verwendet. Selbst jetzt kenne ich Leute, die Trotzdem Verwenden Sie die kostenlose Version der Anwendung und verweisen Sie darauf, dass sie „einfach funktioniert“. Und das, obwohl es viele Alternativen gibt, die auf der ganzen Linie auch einfach besser sind. MiXplorer, FX File Explorer und Solid Explorer, um nur einige zu nennen. Nun stellt sich heraus, dass jeder, der den ES File Explorer verwendet, jede beliebige Datei aus der Ferne von jemandem im selben Netzwerk von seinem Gerät stehlen lassen kann. Die Schwachstelle wurde vom französischen Sicherheitsforscher Baptiste Robert gemeldet, der im Internet unter dem Pseudonym „Elliot Alderson“ auftritt – eine Anspielung auf den Protagonisten der TV-Show Mr. Robot.
Der Exploit (via TechCrunch) funktioniert über einen Port, der auf dem Gerät geöffnet wird, wenn der ES File Explorer geöffnet wird. Im Wesentlichen wird jedes Mal, wenn Sie die Anwendung starten, ein Webserver geöffnet. Robert hat ein Proof-of-Concept-Python-Skript geschrieben, das eine Verbindung zu einem mobilen Gerät herstellen kann, auf dem die App ausgeführt wird, eine Verbindung zu diesem herstellen und Dateien eines bestimmten Typs auflisten kann. Anschließend können Sie jede dieser Dateien direkt von Ihrem Telefon herunterladen. Es handelt sich um eine ziemlich ernste Sicherheitslücke, da dadurch jeder im selben Netzwerk eine Datei direkt von Ihrem Telefon herunterladen kann. Es kann sogar eine App auf Ihrem Gerät starten.
Zum Glück haben die Entwickler von ES File Explorer eine Stellungnahme dazu abgegeben AndroidPoliceund es stellt sich heraus, dass die Schwachstelle bereits behoben wurde.
„Wir haben das Problem mit der HTTP-Sicherheitslücke behoben und freigegeben. Ich warte darauf, dass der Google-Markt die Prüfung besteht.“
Sobald das Update verfügbar ist, bitten wir alle Benutzer, die die Anwendung noch verwenden, dringend, sie sofort zu aktualisieren.
Update 1: Rollout behoben
Version 4.1.9.9 wird jetzt im Play Store veröffentlicht, mit einem Änderungsprotokoll, das besagt: „HTTP-Schwachstelle im LAN beheben“. Wenn Sie Version v4.1.9.7.4 oder niedriger verwenden, suchen Sie nach einem Update.