פגיעות ב-ES File Explorer מאפשרת לתוקף באותה רשת לגנוב כל קובץ מהמכשיר שלך. זה יתוקן.
עדכון 18/1/19 בשעה 16:00 CT: המפתחים של ES File Explorer הוציאו עדכון לאפליקציה שלהם שמתקן את הפגיעות.
סייר הקבצים של ES היה פעם ידוע בתור ה סייר הקבצים לנצח לפני שיקנה אותו צ'יטה נייד. האפליקציה הפכה במהירות מוצפת בפרסומות, אך ייתכן שבעלי גרסאות פרימיום של האפליקציה המשיכו להשתמש בה. אפילו עכשיו, אני מכיר אנשים ש עוֹד השתמש בגרסה החינמית של האפליקציה, תוך ציון העובדה שהיא "פשוט עובדת". זאת למרות העובדה שיש הרבה אלטרנטיבות שהן גם טובות יותר בכל הלוח. MiXplorer, FX File Explorer ו- Solid Explorer, רק כדי להזכיר כמה. כעת מתברר שכל מי שמשתמש ב-ES File Explorer יכול לגנוב כל קובץ מהמכשיר שלו מרחוק על ידי מישהו באותה רשת. על הפגיעות דיווח חוקר האבטחה הצרפתי בפטיסט רוברט, העונה לשם בדוי מקוון "אליוט אלדרסון" - התייחסות לגיבור תוכנית הטלוויזיה מר רובוט.
הניצול (דרך TechCrunch) פועל על ידי יציאה שנפתחת במכשיר כאשר סייר הקבצים של ES נפתח. למעשה, בכל פעם שאתה מפעיל את היישום, שרת אינטרנט נפתח. רוברט כתב תסריט הוכחה למושג Python שיכול להתחבר למכשיר נייד שמריץ את האפליקציה, להתחבר אליו ולפרט קבצים מסוג מסוים. לאחר מכן הוא יכול להוריד כל אחד מהקבצים האלה ישירות מהטלפון שלך. זוהי פגיעות די רצינית מכיוון שהיא יכולה לאפשר לכל אחד באותה רשת להוריד קובץ ישירות מהטלפון שלך. זה יכול אפילו להפעיל אפליקציה גם במכשיר שלך.
למרבה המזל, מפתחי סייר הקבצים של ES נתנו הצהרה ל משטרת אנדרואידומסתבר שהפגיעות כבר תוקנה.
"תיקנו את בעיית הפגיעות של http ושחררנו אותה. מחכה ששוק גוגל יעבור את הביקורת".
ברגע שהעדכון יצא, אנו קוראים לכל המשתמשים שעדיין משתמשים באפליקציה לעדכן אותו מיד.
עדכון 1: תקן את ההפצה
גרסה 4.1.9.9 מתגלגלת כעת בחנות Play עם יומן שינויים שאומר "תקן פגיעות http ב-LAN." אם אתה בגרסה 4.1.9.7.4 ומטה, בדוק אם יש עדכון.