Уязвимость в ES File Explorer позволяет злоумышленнику в той же сети украсть любой файл с вашего устройства. Это будет исправлено.
Обновление от 18 января 2019 г. в 16:00 по центральному времени.: Разработчики ES File Explorer выпустили обновление своего приложения, устраняющее уязвимость.
ES File Explorer когда-то рекламировался как тот файловый менеджер, который нужно победить, прежде чем его выкупят Гепард Мобайл. Приложение быстро стало наводнено рекламой, но те, у кого были премиум-версии приложения, возможно, продолжали его использовать. Даже сейчас я знаю людей, которые все еще использовать бесплатную версию приложения, мотивируя это тем, что она «просто работает». И это несмотря на то, что существует множество альтернатив, которые во всех отношениях просто лучше. MiXplorer, FX File Explorer и Solid Explorer, и это лишь некоторые из них. Теперь оказывается, что любой, кто использует ES File Explorer, может удаленно украсть любой файл со своего устройства кем-то в той же сети. Об уязвимости сообщил французский исследователь безопасности Батист Робер, который использует онлайн-псевдоним «Эллиот Олдерсон» — отсылка к главному герою телешоу «Мистер Робот».
Эксплойт (через TechCrunch) работает через порт, который открывается на устройстве при открытии ES File Explorer. По сути, каждый раз, когда вы запускаете приложение, открывается веб-сервер. Роберт написал экспериментальный сценарий Python, который может подключаться к мобильному устройству, на котором запущено приложение, подключаться к нему и выводить список файлов определенного типа. Затем он сможет загрузить любой из этих файлов прямо с вашего телефона. Это довольно серьезная уязвимость, поскольку она может позволить любому пользователю в той же сети загрузить файл прямо с вашего телефона. Он даже может запустить приложение на вашем устройстве.
К счастью, разработчики ES File Explorer дали заявление AndroidПолицияи оказывается, что уязвимость уже устранена.
«Мы устранили проблему уязвимости http и выпустили ее. Ждём, пока рынок Google пройдёт проверку».
Как только обновление выйдет, мы призываем всех пользователей, которые все еще используют приложение, немедленно обновить его.
Обновление 1: исправление развертывания
Версия 4.1.9.9 теперь распространяется в Play Store с журналом изменений, в котором говорится «Исправить уязвимость http в локальной сети». Если вы используете версию v4.1.9.7.4 или ниже, проверьте наличие обновлений.