Az ES File Explorer biztonsági rése lehetővé teszi, hogy az ugyanazon a hálózaton lévő támadók bármilyen fájlt ellopjanak az eszközről. Meg lesz javítva.
Frissítés: 1/18/19, 16:00 CT: Az ES File Explorer fejlesztői frissítést adtak ki alkalmazásukhoz, amely javítja a biztonsági rést.
Az ES File Explorert egykor úgy emlegették a a fájlkezelőt le kell győzni, mielőtt megvásárolná Cheetah Mobile. Az alkalmazást gyorsan elárasztották a reklámok, de az alkalmazás prémium verzióival rendelkezők továbbra is használhatták. Még most is ismerek olyanokat, akik még mindig használja az alkalmazás ingyenes verzióját, arra hivatkozva, hogy "csak működik". Ez annak ellenére van így, hogy sok alternatíva létezik, amelyek szintén jobbak az egész fórumon. MiXplorer, FX File Explorer és Solid Explorer, csak hogy néhányat említsünk. Most kiderült, hogy bárki, aki az ES File Explorert használja, bármilyen fájlt ellophat az eszközéről távolról, ugyanazon a hálózaton. A sebezhetőségről Baptiste Robert francia biztonsági kutató számolt be, aki az "Elliot Alderson" online álnéven szerepel – ez a Mr. Robot című tévéműsor főszereplőjére utal.
Az exploit (via TechCrunch) egy porton keresztül működik, amely az ES File Explorer megnyitásakor nyílik meg az eszközön. Lényegében minden alkalommal, amikor elindítja az alkalmazást, megnyílik egy webszerver. Robert írt egy proof of concept Python szkriptet, amely képes csatlakozni az alkalmazást futtató mobileszközhöz, csatlakozni hozzá, és listázni egy bizonyos típusú fájlokat. Ezután bármelyik fájlt letöltheti közvetlenül a telefonjáról. Ez egy elég komoly biztonsági rés, mivel lehetővé teheti, hogy ugyanazon a hálózaton bárki letölthessen fájlt közvetlenül a telefonjáról. Akár alkalmazást is indíthat a készülékén.
Szerencsére az ES File Explorer fejlesztői nyilatkozatot tettek AndroidPoliceés kiderül, hogy a sérülékenységet már javították.
"Javítottuk a http sebezhetőség problémáját, és kiadtuk. Várom, hogy a Google piac megfeleljen a felülvizsgálatnak."
A frissítés megjelenése után arra kérünk minden olyan felhasználót, aki még használja az alkalmazást, hogy azonnal frissítse azt.
1. frissítés: A javítás bevezetése
A 4.1.9.9-es verzió most megjelenik a Play Áruházban, egy változásnaplóval, amely a következőt írja: „Javítsa ki a http sebezhetőséget a LAN-ban”. Ha a 4.1.9.7.4 vagy régebbi verziót használja, keressen frissítést.