[Aktualizácia: Oprava zavádzania] Zraniteľnosť ES File Explorer umožňuje útočníkovi v rovnakej sieti získať akýkoľvek súbor z vášho telefónu, ale bude opravená

Zraniteľnosť v ES File Explorer umožňuje útočníkovi v rovnakej sieti ukradnúť akýkoľvek súbor z vášho zariadenia. Bude to opravené.

Aktualizácia 18. 1. 2019 o 16:00 CT: Vývojári ES File Explorer vydali aktualizáciu svojej aplikácie, ktorá opravuje túto chybu zabezpečenia.

ES File Explorer bol kedysi propagovaný ako a prieskumník súborov poraziť pred tým, než bude odkúpený Cheetah Mobile. Aplikácia bola rýchlo zaplavená reklamami, no tí s prémiovými verziami aplikácie ju možno aj naďalej používali. Aj teraz poznám ľudí, ktorí stále použite bezplatnú verziu aplikácie s odvolaním sa na skutočnosť, že „jednoducho funguje“. A to aj napriek tomu, že existuje veľa alternatív, ktoré sú vo všeobecnosti lepšie. MiXplorer, FX File Explorer a Solid Explorer, aby sme vymenovali aspoň niektoré. Teraz sa ukazuje, že komukoľvek, kto používa ES File Explorer, môže niekto v rovnakej sieti na diaľku ukradnúť akýkoľvek súbor z jeho zariadenia. O tejto zraniteľnosti informoval francúzsky bezpečnostný výskumník Baptiste Robert, ktorý vystupuje pod online pseudonymom „Elliot Alderson“ – čo je odkaz na hlavného hrdinu televíznej relácie Pán Robot.

Využitie (cez TechCrunch) funguje pomocou portu, ktorý sa otvorí na zariadení pri otvorení ES File Explorer. V podstate pri každom spustení aplikácie sa otvorí webový server. Robert napísal dôkaz o koncepte Python skriptu, ktorý sa dokáže pripojiť k mobilnému zariadeniu s aplikáciou, pripojiť sa k nemu a zobraziť zoznam súborov určitého typu. Potom môže stiahnuť ktorýkoľvek z týchto súborov priamo z vášho telefónu. Je to dosť vážna zraniteľnosť, pretože môže komukoľvek v rovnakej sieti umožniť stiahnuť súbor priamo z vášho telefónu. Môže dokonca spustiť aplikáciu na vašom zariadení.

Našťastie vývojári ES File Explorer dali vyhlásenie AndroidPolicea ukázalo sa, že zraniteľnosť už bola opravená.

„Opravili sme problém so zraniteľnosťou http a uvoľnili sme ho. Čaká sa, kým trh Google prejde kontrolou.“

Po dokončení aktualizácie vyzývame všetkých používateľov, ktorí aplikáciu stále používajú, aby ju okamžite aktualizovali.


Aktualizácia 1: Oprava zavádzania

Verzia 4.1.9.9 sa teraz uvádza na trh v obchode Play s protokolom zmien, ktorý hovorí „Opravte zraniteľnosť http v sieti LAN“. Ak používate verziu 4.1.9.7.4 alebo nižšiu, skontrolujte dostupnosť aktualizácie.