En sårbarhet i ES File Explorer lar en angriper på samme nettverk stjele enhver fil fra enheten din. Det vil bli fikset.
Oppdatering 18.01.19 @ 16:00 CT: Utviklerne av ES File Explorer har utstedt en oppdatering til appen deres som fikser sikkerhetsproblemet.
ES File Explorer ble en gang utpekt som de filutforsker å slå før den blir kjøpt ut av Gepard mobil. Applikasjonen ble raskt oversvømmet med annonser, men de med premiumversjoner av applikasjonen kan ha fortsatt å bruke den. Selv nå kjenner jeg folk som fortsatt bruk gratisversjonen av applikasjonen, med henvisning til det faktum at det "bare fungerer." Det til tross for at det er mange alternativer som også bare er bedre over hele linja. MiXplorer, FX File Explorer og Solid Explorer, bare for å nevne noen. Nå viser det seg at alle som bruker ES File Explorer kan få enhver fil stjålet fra enheten eksternt av noen på samme nettverk. Sårbarheten ble rapportert av den franske sikkerhetsforskeren Baptiste Robert, som går under nettpseudonymet "Elliot Alderson" - en referanse til hovedpersonen i TV-programmet Mr. Robot.
Utnyttelsen (via TechCrunch) fungerer av en port som åpnes på enheten når ES File Explorer åpnes. I hovedsak, hver gang du starter applikasjonen, åpnes en webserver. Robert skrev et proof of concept Python-skript som kan koble til en mobilenhet som kjører appen, koble til den og liste filer av en bestemt type. Den kan deretter laste ned hvilken som helst av disse filene direkte fra telefonen din. Det er en ganske alvorlig sårbarhet siden den kan tillate hvem som helst på samme nettverk å laste ned en fil rett fra telefonen din. Den kan til og med starte en app på enheten din også.
Heldigvis ga utviklerne av ES File Explorer en uttalelse til Android-politietog det viser seg at sårbarheten allerede er fikset.
"Vi har fikset http-sårbarhetsproblemet og lansert det. Venter på at Google-markedet skal bestå anmeldelsen."
Når oppdateringen er ute, oppfordrer vi alle brukere som fortsatt bruker applikasjonen til å oppdatere den umiddelbart.
Oppdatering 1: Fix utrulling
Versjon 4.1.9.9 rulles nå ut i Play-butikken med en endringslogg som sier "Fix http vulnerability in LAN." Hvis du har versjon 4.1.9.7.4 eller lavere, se etter en oppdatering.