Luka w Eksploratorze plików ES umożliwia osobie atakującej w tej samej sieci kradzież dowolnego pliku z Twojego urządzenia. To zostanie naprawione.
Aktualizacja 18.01.19 o 16:00 czasu polskiego: Twórcy ES File Explorer wydali aktualizację swojej aplikacji, która naprawia lukę.
Eksplorator plików ES był kiedyś reklamowany jako the Eksplorator plików, aby pokonać, zanim zostaniesz wykupiony Gepard komórkowy. Aplikacja szybko została zalana reklamami, ale osoby posiadające wersje premium aplikacji mogły nadal z niej korzystać. Nawet teraz znam ludzi, którzy Nadal korzystaj z darmowej wersji aplikacji, powołując się na fakt, że ona „po prostu działa”. Dzieje się tak pomimo faktu, że istnieje wiele alternatyw, które są po prostu lepsze pod każdym względem. MiXplorer, Eksplorator plików FX i Solid Explorer, żeby wymienić tylko kilka. Teraz okazuje się, że każdy, kto korzysta z ES File Explorer, może zdalnie ukraść dowolny plik ze swojego urządzenia przez osobę w tej samej sieci. Lukę zgłosił francuski badacz bezpieczeństwa Baptiste Robert, posługujący się internetowym pseudonimem „Elliot Alderson” – nawiązującym do głównego bohatera programu telewizyjnego Mr. Robot.
Exploit (przez TechCrunch) działa przez port, który jest otwarty na urządzeniu po otwarciu Eksploratora plików ES. Zasadniczo przy każdym uruchomieniu aplikacji otwierany jest serwer WWW. Robert napisał prototypowy skrypt w języku Python, który może połączyć się z urządzeniem mobilnym, na którym działa aplikacja, połączyć się z nim i wyświetlić listę plików określonego typu. Następnie może pobrać dowolny z tych plików bezpośrednio z telefonu. Jest to dość poważna luka, ponieważ umożliwia każdemu użytkownikowi tej samej sieci pobranie pliku bezpośrednio z telefonu. Może nawet uruchomić aplikację na Twoim urządzeniu.
Na szczęście twórcy ES File Explorer wydali oświadczenie Policja Androidai okazuje się, że luka została już naprawiona.
„Naprawiliśmy problem związany z luką w zabezpieczeniach protokołu HTTP i udostępniliśmy go. Czekam, aż rynek Google przejdzie recenzję.”
Po opublikowaniu aktualizacji zalecamy, aby wszyscy użytkownicy nadal korzystający z aplikacji natychmiast ją zaktualizowali.
Aktualizacja 1: Napraw wdrażanie
Wersja 4.1.9.9 jest już dostępna w Sklepie Play z dziennikiem zmian o treści „Napraw lukę http w sieci LAN”. Jeśli korzystasz z wersji v4.1.9.7.4 lub niższej, sprawdź dostępność aktualizacji.