ES File Explorerin haavoittuvuus sallii samassa verkossa olevan hyökkääjän varastaa minkä tahansa tiedoston laitteestasi. Se korjataan.
Päivitys 18.1.2019 klo 16.00 CT: ES File Explorerin kehittäjät ovat julkaisseet sovellukseensa päivityksen, joka korjaa haavoittuvuuden.
ES File Explorer mainostettiin kerran the Tiedostonhallintaohjelma, jota voit voittaa ennen kuin se ostaa sen Cheetah Mobile. Sovellus tulvi nopeasti mainoksilla, mutta ne, joilla oli sovelluksen premium-versiot, ovat saattaneet jatkaa sen käyttöä. Jo nyt tiedän ihmisiä, jotka edelleen käytä sovelluksen ilmaista versiota vedoten siihen, että se "vain toimii". Tämä huolimatta siitä, että on olemassa monia vaihtoehtoja, jotka ovat myös vain parempia kautta linjan. MiXplorer, FX File Explorer ja Solid Explorer, vain muutamia mainitakseni. Nyt on käynyt ilmi, että kuka tahansa ES File Explorerin käyttäjä voi saada minkä tahansa tiedoston varastamaan laitteeltaan samassa verkossa. Haavoittuvuuden ilmoitti ranskalainen turvallisuustutkija Baptiste Robert, joka käyttää verkossa salanimeä "Elliot Alderson" - viittaus tv-sarjan Mr. Robot päähenkilöön.
Hyödynnä (via TechCrunch) toimii portilla, joka avataan laitteessa, kun ES File Explorer avataan. Pohjimmiltaan joka kerta, kun käynnistät sovelluksen, verkkopalvelin avataan. Robert kirjoitti proof of concept Python-skriptin, joka voi muodostaa yhteyden sovellusta käyttävään mobiililaitteeseen, muodostaa yhteyden siihen ja luetteloida tietyn tyyppisiä tiedostoja. Se voi sitten ladata minkä tahansa näistä tiedostoista suoraan puhelimestasi. Se on melko vakava haavoittuvuus, koska sen avulla kuka tahansa samassa verkossa oleva voi ladata tiedoston suoraan puhelimestasi. Se voi jopa käynnistää sovelluksen myös laitteellesi.
Onneksi ES File Explorerin kehittäjät antoivat lausunnon AndroidPoliceja käy ilmi, että haavoittuvuus on jo korjattu.
"Olemme korjanneet http-haavoittuvuusongelman ja julkaisseet sen. Odotetaan, että Google-markkinat läpäisevät arvioinnin."
Kun päivitys on julkaistu, kehotamme kaikkia käyttäjiä, jotka edelleen käyttävät sovellusta, päivittämään sen välittömästi.
Päivitys 1: Korjaus tulossa
Versio 4.1.9.9 julkaistaan nyt Play Kaupassa, ja siinä on muutosloki, jossa lukee "Korjaa http-haavoittuvuus lähiverkossa". Jos käytät versiota 4.1.9.7.4 tai vanhempi, tarkista päivitys.