Programmas ES File Explorer ievainojamība ļauj uzbrucējam tajā pašā tīklā nozagt jebkuru failu no jūsu ierīces. Tas tiks salabots.
Atjaunināts 18.01.19. plkst. 16:00 CT: ES File Explorer izstrādātāji ir izlaiduši savas lietotnes atjauninājumu, kas novērš ievainojamību.
ES File Explorer savulaik tika reklamēts kā uz failu pārlūks, kas jāpārspēj, pirms to izpērk Cheetah Mobile. Lietojumprogramma ātri tika pārpludināta ar reklāmām, taču tie, kuriem bija lietojumprogrammas premium versijas, varēja to turpināt lietot. Pat tagad es zinu cilvēkus, kuri joprojām izmantojiet lietojumprogrammas bezmaksas versiju, norādot, ka tā "tikai darbojas". Tas ir neskatoties uz to, ka ir daudz alternatīvu, kas ir arī labākas visās jomās. MiXplorer, FX File Explorer un Solid Explorer, tikai daži no tiem. Tagad izrādās, ka ikvienam, kas izmanto ES File Explorer, kāds tajā pašā tīklā var attālināti nozagt jebkuru failu no ierīces. Par ievainojamību ziņoja franču drošības pētnieks Baptists Roberts, kurš tiek dēvēts ar tiešsaistes pseidonīmu "Elliots Aldersons" — atsauce uz televīzijas šova Mr. Robot galveno varoni.
Ekspluatācija (izmantojot TechCrunch) darbojas ar portu, kas tiek atvērts ierīcē, kad tiek atvērts ES File Explorer. Būtībā katru reizi, kad palaižat lietojumprogrammu, tiek atvērts tīmekļa serveris. Roberts uzrakstīja koncepcijas pierādījumu Python skriptu, kas var izveidot savienojumu ar mobilo ierīci, kurā darbojas lietotne, izveidot savienojumu ar to un uzskaitīt noteikta veida failus. Pēc tam tas var lejupielādēt jebkuru no šiem failiem tieši no jūsu tālruņa. Tā ir diezgan nopietna ievainojamība, jo tā var ļaut ikvienam tajā pašā tīklā lejupielādēt failu tieši no jūsu tālruņa. Tas pat var palaist lietotni arī jūsu ierīcē.
Par laimi, ES File Explorer izstrādātāji sniedza paziņojumu AndroidPoliceun izrādās, ka ievainojamība jau ir novērsta.
"Mēs esam novērsuši http ievainojamības problēmu un to izlaiduši. Gaida, kamēr Google tirgus izturēs pārbaudi.
Kad atjauninājums ir pieejams, mēs aicinām visus lietotājus, kuri joprojām izmanto lietojumprogrammu, nekavējoties to atjaunināt.
1. atjauninājums: tiek ieviests labojums
Versija 4.1.9.9 tagad tiek izlaista Play veikalā ar izmaiņu žurnālu, kurā teikts “Novērst http ievainojamību LAN”. Ja izmantojat versiju 4.1.9.7.4 vai jaunāku versiju, pārbaudiet, vai nav atjauninājumu.