ES File Explorer pažeidžiamumas leidžia užpuolikui tame pačiame tinkle pavogti bet kurį failą iš jūsų įrenginio. Jis bus sutvarkytas.
Atnaujinta 1/18/19 @ 16:00 CT: ES File Explorer kūrėjai išleido savo programos naujinį, kuris ištaiso pažeidžiamumą.
ES File Explorer kadaise buvo reklamuojamas kaip į failų naršyklę, kurią reikia įveikti prieš išperkant „Cheetah“ mobilusis. Programą greitai užplūdo skelbimai, tačiau tie, kurie turi aukščiausios kokybės programos versijas, galėjo ir toliau ja naudotis. Net ir dabar pažįstu žmonių, kurie vis dar naudokite nemokamą programos versiją, nurodydami, kad ji „tiesiog veikia“. Taip yra nepaisant to, kad yra daug alternatyvų, kurios taip pat yra geresnės. „MiXplorer“, „FX File Explorer“ ir „Solid Explorer“ – tik keletas. Dabar paaiškėja, kad kiekvienas, naudojantis ES File Explorer, gali turėti bet kurį failą, kurį iš jo įrenginio nuotoliniu būdu pavogs tame pačiame tinkle. Apie pažeidžiamumą pranešė prancūzų saugumo tyrinėtojas Baptiste'as Robertas, internetinis pseudonimu „Elliotas Aldersonas“ – nuoroda į televizijos laidos „Ponas Robotas“ veikėją.
Išnaudojimas (per TechCrunch) veikia per prievadą, kuris atidaromas įrenginyje atidarius ES File Explorer. Iš esmės kiekvieną kartą paleidus programą atidaromas žiniatinklio serveris. Robertas parašė koncepcijos įrodymą „Python“ scenarijus, galintis prisijungti prie mobiliojo įrenginio, kuriame veikia programa, prisijungti prie jo ir išvardyti tam tikro tipo failus. Tada jis gali atsisiųsti bet kurį iš tų failų tiesiai iš jūsų telefono. Tai gana rimtas pažeidžiamumas, nes jis gali leisti bet kam tame pačiame tinkle atsisiųsti failą tiesiai iš jūsų telefono. Jis netgi gali paleisti programą jūsų įrenginyje.
Laimei, ES File Explorer kūrėjai pateikė pareiškimą AndroidPoliceir pasirodo, kad pažeidžiamumas jau ištaisytas.
„Pataisėme http pažeidžiamumo problemą ir ją išleidome. Laukiame, kol „Google“ rinka atliks peržiūrą.
Kai naujinys bus išleistas, raginame visus naudotojus, kurie vis dar naudoja programą, nedelsiant ją atnaujinti.
1 naujinimas: pataisymas išleidžiamas
4.1.9.9 versija dabar išleidžiama „Play“ parduotuvėje su pakeitimų žurnalu, kuriame rašoma „Pataisyti http pažeidžiamumą LAN“. Jei naudojate 4.1.9.7.4 ar senesnę versiją, patikrinkite, ar nėra naujinio.