ES ファイル エクスプローラーの脆弱性により、同じネットワーク上の攻撃者がデバイスから任意のファイルを盗むことができます。 それは修正されます。
更新 2019 年 1 月 18 日 @ 4:00PM (中部時間): ES File Explorer の開発者は、脆弱性を修正するアプリのアップデートを発行しました。
ES ファイル エクスプローラーはかつて次のように宣伝されていました。 の 買収される前に勝てるファイルエクスプローラー チーターモバイル. このアプリケーションにはすぐに広告が氾濫しましたが、アプリケーションのプレミアム バージョンを使用している人は引き続き使用している可能性があります。 今でも、こんな人たちを知っています。 まだ 「問題なく動作する」という事実を理由に、アプリケーションの無料版を使用してください。 それは、全体的にはより優れた代替手段がたくさんあるという事実にもかかわらずです。 ほんの数例を挙げると、MiXplorer、FX File Explorer、Solid Explorer などがあります。 ES File Explorer を使用している人は誰でも、同じネットワーク上の誰かによってリモートからデバイスからファイルを盗まれる可能性があることが判明しました。 この脆弱性は、テレビ番組ミスター・ロボットの主人公にちなんで「エリオット・アルダーソン」というオンライン偽名で活動するフランスのセキュリティ研究者バティスト・ロベール氏によって報告された。
エクスプロイト (経由) テッククランチ) ES ファイル エクスプローラーを開いたときにデバイス上で開かれるポートによって機能します。 基本的に、アプリケーションを起動するたびに、Web サーバーが開きます。 Robert は、アプリを実行しているモバイル デバイスに接続して、特定の種類のファイルを一覧表示できる概念実証の Python スクリプトを作成しました。 その後、これらのファイルを携帯電話から直接ダウンロードできます。 同じネットワーク上の誰でも携帯電話から直接ファイルをダウンロードできる可能性があるため、これはかなり深刻な脆弱性です。 デバイス上でアプリを起動することもできます。
ありがたいことに、ES File Explorerの開発者は次のような声明を発表しました。 アンドロイド警察そして、その脆弱性はすでに修正されていることが判明しました。
「httpの脆弱性問題を修正し、リリースしました。 Google マーケットが審査を通過するのを待っています。」
アップデートが公開されたら、アプリケーションをまだ使用しているユーザーはすぐにアップデートすることをお勧めします。
アップデート 1: 修正のロールアウト
バージョン 4.1.9.9 は現在、「LAN の http 脆弱性を修正する」という変更ログとともに Play ストアで公開されています。 バージョン v4.1.9.7.4 以下を使用している場合は、アップデートがあるかどうかを確認してください。