[Värskendus: väljalaske parandamine] ES File Exploreri haavatavus võimaldab samas võrgus oleval ründajal haarata teie telefonist mis tahes faili, kuid see parandatakse

ES File Exploreri haavatavus võimaldab samas võrgus asuval ründajal varastada teie seadmest mis tahes faili. See parandatakse.

Värskendus 18.01.19 kell 16:00 CT: ES File Exploreri arendajad on oma rakendusele välja andnud värskenduse, mis parandab haavatavuse.

ES File Explorerit reklaamiti kunagi kui a failiuurija, mida tuleb enne välja osta Cheetah Mobiil. Rakendus ujutati kiiresti reklaamidega üle, kuid need, kellel on rakenduse esmaklassilised versioonid, võisid selle kasutamist jätkata. Isegi praegu tean inimesi, kes ikka veel kasutage rakenduse tasuta versiooni, viidates asjaolule, et see "lihtsalt töötab". Seda hoolimata asjaolust, et on palju alternatiive, mis on ka üldiselt paremad. MiXplorer, FX File Explorer ja Solid Explorer, kui nimetada vaid mõnda. Nüüd selgub, et igaüks, kes kasutab ES File Explorerit, võib lasta oma seadmest faili kaugjuhtimisega samas võrgus varastada. Haavatavusest teatas Prantsuse turvateadlane Baptiste Robert, kes kannab veebis pseudonüümi "Elliot Alderson" – see viitab telesaate Mr. Robot peategelasele.

Ärakasutamine (via TechCrunch) töötab pordi kaudu, mis avaneb seadmes ES File Exploreri avamisel. Sisuliselt avaneb iga rakenduse käivitamisel veebiserver. Robert kirjutas kontseptsiooni tõestusega Pythoni skripti, mis suudab luua ühenduse rakendust käivitava mobiilseadmega, sellega ühenduse luua ja loetleda teatud tüüpi faile. Seejärel saab need failid otse teie telefonist alla laadida. See on üsna tõsine haavatavus, kuna see võib võimaldada kõigil samas võrgus olevatel inimestel faili otse teie telefonist alla laadida. See võib isegi teie seadmes rakenduse käivitada.

Õnneks andsid ES File Exploreri arendajad avalduse AndroidPoliceja selgub, et haavatavus on juba parandatud.

"Oleme parandanud http haavatavuse probleemi ja vabastanud selle. Ootan, kuni Google'i turg ülevaatuse läbib."

Kui värskendus on välja antud, soovitame kõigil kasutajatel, kes seda rakendust endiselt kasutavad, seda kohe värskendada.


Värskendus 1: parandamine käib

Versioon 4.1.9.9 avaldatakse nüüd Play poes koos muudatuste logiga "Parandage LAN-i http haavatavus". Kui kasutate versiooni v4.1.9.7.4 või vanemat, otsige värskendust.