Une vulnérabilité dans ES File Explorer permet à un attaquant sur le même réseau de voler n'importe quel fichier de votre appareil. Ce sera corrigé.
Mise à jour du 18/01/19 à 16h00 CT: Les développeurs d'ES File Explorer ont publié une mise à jour de leur application qui corrige la vulnérabilité.
ES File Explorer était autrefois présenté comme le explorateur de fichiers à battre avant d'être racheté par Mobile guépard. L’application a rapidement été inondée de publicités, mais ceux qui disposaient de versions premium de l’application ont peut-être continué à l’utiliser. Même maintenant, je connais des gens qui toujours utilisez la version gratuite de l'application, citant le fait qu'elle « fonctionne tout simplement ». Et ce, malgré le fait qu'il existe de nombreuses alternatives qui sont également tout simplement meilleures dans tous les domaines. MiXplorer, FX File Explorer et Solid Explorer, pour n'en nommer que quelques-uns. Il s'avère maintenant que toute personne utilisant ES File Explorer peut se faire voler à distance n'importe quel fichier de son appareil par quelqu'un sur le même réseau. La vulnérabilité a été signalée par le chercheur français en sécurité Baptiste Robert, qui porte le pseudonyme en ligne « Elliot Alderson », une référence au protagoniste de l'émission télévisée Mr. Robot.
L'exploit (via TechCrunch) fonctionne via un port qui est ouvert sur l'appareil lorsque ES File Explorer est ouvert. Essentiellement, chaque fois que vous lancez l'application, un serveur Web est ouvert. Robert a écrit un script Python de preuve de concept qui peut se connecter à un appareil mobile exécutant l'application, s'y connecter et répertorier les fichiers d'un certain type. Il peut ensuite télécharger n'importe lequel de ces fichiers directement depuis votre téléphone. Il s'agit d'une vulnérabilité assez grave car elle peut permettre à n'importe qui sur le même réseau de télécharger un fichier directement depuis votre téléphone. Il peut même lancer une application sur votre appareil.
Heureusement, les développeurs d'ES File Explorer ont fait une déclaration à AndroidPoliceet il s'avère que la vulnérabilité a déjà été corrigée.
"Nous avons résolu le problème de vulnérabilité http et l'avons publié. En attendant que le marché de Google passe l'examen."
Une fois la mise à jour publiée, nous invitons tous les utilisateurs utilisant encore l'application à la mettre à jour immédiatement.
Mise à jour 1: déploiement du correctif
La version 4.1.9.9 est désormais déployée sur le Play Store avec un journal des modifications indiquant « Corriger la vulnérabilité http dans le réseau local ». Si vous utilisez la version v4.1.9.7.4 ou inférieure, recherchez une mise à jour.