[Atualização: lançamento de correção] A vulnerabilidade do ES File Explorer permite que um invasor na mesma rede pegue qualquer arquivo do seu telefone, mas será corrigido

Uma vulnerabilidade no ES File Explorer permite que um invasor na mesma rede roube qualquer arquivo do seu dispositivo. Será consertado.

Atualização 18/01/19 às 16h00 CT: Os desenvolvedores do ES File Explorer lançaram uma atualização para seu aplicativo que corrige a vulnerabilidade.

ES File Explorer já foi apontado como o explorador de arquivos para vencer antes de ser comprado por Chita Móvel. O aplicativo rapidamente foi inundado com anúncios, mas aqueles com versões premium do aplicativo podem ter continuado a usá-lo. Mesmo agora, conheço pessoas que ainda use a versão gratuita do aplicativo, citando o fato de que ele “simplesmente funciona”. Isso apesar do fato de que existem muitas alternativas que também são melhores em todos os aspectos. MiXplorer, FX File Explorer e Solid Explorer, só para citar alguns. Agora acontece que qualquer pessoa que use o ES File Explorer pode ter qualquer arquivo roubado de seu dispositivo remotamente por alguém na mesma rede. A vulnerabilidade foi relatada pelo pesquisador de segurança francês Baptiste Robert, que usa o pseudônimo online “Elliot Alderson” – uma referência ao protagonista do programa de TV Mr.

A exploração (via TechCrunch) funciona por uma porta que é aberta no dispositivo quando o ES File Explorer é aberto. Em essência, toda vez que você inicia o aplicativo, um servidor web é aberto. Robert escreveu um script Python de prova de conceito que pode se conectar a um dispositivo móvel executando o aplicativo, conectar-se a ele e listar arquivos de um determinado tipo. Ele pode então baixar qualquer um desses arquivos diretamente do seu telefone. É uma vulnerabilidade bastante séria, pois pode permitir que qualquer pessoa na mesma rede baixe um arquivo diretamente do seu telefone. Ele também pode iniciar um aplicativo no seu dispositivo.

Felizmente, os desenvolvedores do ES File Explorer deram uma declaração para Polícia Androide acontece que a vulnerabilidade já foi corrigida.

"Corrigimos o problema de vulnerabilidade do http e o lançamos. Esperando que o mercado do Google seja aprovado na revisão."

Assim que a atualização for lançada, pedimos a todos os usuários que ainda usam o aplicativo que o atualizem imediatamente.


Atualização 1: correção da implementação

A versão 4.1.9.9 agora está sendo lançada na Play Store com um changelog que diz “Corrigir vulnerabilidade http na LAN”. Se você estiver na versão v4.1.9.7.4 ou inferior, verifique se há uma atualização.