Una vulnerabilità in ES File Explorer consente a un utente malintenzionato sulla stessa rete di rubare qualsiasi file dal tuo dispositivo. Verrà risolto.
Aggiornamento del 18/01/19 alle 16:00 CET: Gli sviluppatori di ES File Explorer hanno rilasciato un aggiornamento alla loro app che risolve la vulnerabilità.
Una volta ES File Explorer veniva pubblicizzato come IL file explorer da battere prima di essere comprato Cellulare ghepardo. L'applicazione è stata rapidamente inondata di pubblicità, ma chi disponeva di versioni premium dell'applicazione potrebbe aver continuato a utilizzarla. Anche adesso, conosco persone che Ancora utilizzare la versione gratuita dell'applicazione, citando il fatto che "funziona e basta". Questo nonostante il fatto che ci siano molte alternative che sono anche semplicemente migliori su tutta la linea. MiXplorer, FX File Explorer e Solid Explorer, solo per citarne alcuni. Ora si scopre che chiunque utilizzi ES File Explorer può vedersi rubare qualsiasi file dal proprio dispositivo in remoto da qualcuno sulla stessa rete. La vulnerabilità è stata segnalata dal ricercatore francese Baptiste Robert, conosciuto online con lo pseudonimo di "Elliot Alderson" - un riferimento al protagonista della serie televisiva Mr. Robot.
L'impresa (via TechCrunch) funziona tramite una porta che viene aperta sul dispositivo quando viene aperto ES File Explorer. In sostanza, ogni volta che si avvia l'applicazione, viene aperto un server web. Robert ha scritto uno script Python di prova in grado di connettersi a un dispositivo mobile che esegue l'app, connettersi ad esso ed elencare file di un certo tipo. Può quindi scaricare qualsiasi di questi file direttamente dal tuo telefono. È una vulnerabilità piuttosto seria in quanto può consentire a chiunque sulla stessa rete di scaricare un file direttamente dal tuo telefono. Può anche avviare un'app anche sul tuo dispositivo.
Per fortuna, gli sviluppatori di ES File Explorer hanno rilasciato una dichiarazione AndroidPoliziae si scopre che la vulnerabilità è già stata risolta.
"Abbiamo risolto il problema della vulnerabilità http e lo abbiamo rilasciato. In attesa che il mercato di Google superi la revisione."
Una volta terminato l'aggiornamento, invitiamo tutti gli utenti che utilizzano ancora l'applicazione ad aggiornarla immediatamente.
Aggiornamento 1: correzione dell'implementazione
La versione 4.1.9.9 è ora disponibile nel Play Store con un registro delle modifiche che dice "Risolvi la vulnerabilità http nella LAN". Se utilizzi la versione v4.1.9.7.4 o precedente, verifica la disponibilità di un aggiornamento.