Μια ευπάθεια στον ES File Explorer επιτρέπει σε έναν εισβολέα στο ίδιο δίκτυο να κλέψει οποιοδήποτε αρχείο από τη συσκευή σας. Θα διορθωθεί.
Ενημέρωση 18/1/19 @ 16:00 CT: Οι προγραμματιστές του ES File Explorer εξέδωσαν μια ενημέρωση στην εφαρμογή τους που διορθώνει την ευπάθεια.
Το ES File Explorer κάποτε διαφημιζόταν ως ο εξερευνητής αρχείων που πρέπει να νικήσει πριν εξαγοραστεί από Cheetah Mobile. Η εφαρμογή πλημμύρισε γρήγορα από διαφημίσεις, αλλά όσοι είχαν εκδόσεις premium της εφαρμογής μπορεί να συνέχισαν να τη χρησιμοποιούν. Ακόμα και τώρα γνωρίζω ανθρώπους που ακόμη χρησιμοποιήστε τη δωρεάν έκδοση της εφαρμογής, αναφέροντας το γεγονός ότι "απλώς λειτουργεί". Αυτό συμβαίνει παρά το γεγονός ότι υπάρχουν πολλές εναλλακτικές που είναι επίσης καλύτερες σε γενικές γραμμές. MiXplorer, FX File Explorer και Solid Explorer, για να αναφέρουμε μόνο μερικά. Τώρα αποδεικνύεται ότι οποιοσδήποτε χρησιμοποιεί το ES File Explorer μπορεί να κλέψει οποιοδήποτε αρχείο από τη συσκευή του εξ αποστάσεως από κάποιον στο ίδιο δίκτυο. Η ευπάθεια αναφέρθηκε από τον Γάλλο ερευνητή ασφαλείας Baptiste Robert, ο οποίος χρησιμοποιεί το διαδικτυακό ψευδώνυμο "Elliot Alderson" - μια αναφορά στον πρωταγωνιστή της τηλεοπτικής εκπομπής Mr. Robot.
Η εκμετάλλευση (μέσω TechCrunch) λειτουργεί από μια θύρα που ανοίγει στη συσκευή όταν ανοίγει το ES File Explorer. Ουσιαστικά, κάθε φορά που εκκινείτε την εφαρμογή, ανοίγει ένας διακομιστής web. Ο Robert έγραψε ένα σενάριο Python απόδειξης της ιδέας που μπορεί να συνδεθεί σε μια κινητή συσκευή που εκτελεί την εφαρμογή, να συνδεθεί σε αυτήν και να παραθέσει αρχεία ενός συγκεκριμένου τύπου. Στη συνέχεια, μπορεί να κατεβάσει οποιοδήποτε από αυτά τα αρχεία απευθείας από το τηλέφωνό σας. Είναι μια αρκετά σοβαρή ευπάθεια, καθώς μπορεί να επιτρέψει σε οποιονδήποτε στο ίδιο δίκτυο να κατεβάσει ένα αρχείο απευθείας από το τηλέφωνό σας. Μπορεί ακόμη και να εκκινήσει μια εφαρμογή στη συσκευή σας.
Ευτυχώς, οι προγραμματιστές του ES File Explorer έδωσαν μια δήλωση AndroidPoliceκαι αποδεικνύεται ότι η ευπάθεια έχει ήδη διορθωθεί.
«Διορθώσαμε το ζήτημα ευπάθειας http και το απελευθερώσαμε. Περιμένω να περάσει η αγορά της Google τον έλεγχο."
Μόλις ολοκληρωθεί η ενημέρωση, προτρέπουμε όσους χρήστες εξακολουθούν να χρησιμοποιούν την εφαρμογή να την ενημερώσουν αμέσως.
Ενημέρωση 1: Διορθώστε το Rolling Out
Η έκδοση 4.1.9.9 κυκλοφορεί τώρα στο Play Store με ένα αρχείο καταγραφής αλλαγών που λέει "Fix http vulnerability in LAN". Εάν χρησιμοποιείτε την έκδοση 4.1.9.7.4 ή νεότερη έκδοση, ελέγξτε για ενημέρωση.