Ranljivost v ES File Explorerju omogoča napadalcu v istem omrežju, da ukrade katero koli datoteko iz vaše naprave. Popravljeno bo.
Posodobitev 18.1.19 ob 16:00 CT: Razvijalci ES File Explorerja so izdali posodobitev svoje aplikacije, ki odpravlja ranljivost.
ES File Explorer je bil nekoč označen kot the File Explorer premagati, preden ga odkupi Cheetah Mobile. Aplikacija je hitro postala preplavljena z oglasi, vendar so jo tisti, ki imajo premium različice aplikacije, morda še naprej uporabljali. Že zdaj poznam ljudi, ki še vedno uporabite brezplačno različico aplikacije, pri čemer navajate dejstvo, da "preprosto deluje". To je kljub dejstvu, da obstaja veliko alternativ, ki so prav tako boljše na vseh področjih. MiXplorer, FX File Explorer in Solid Explorer, če naštejemo samo nekatere. Zdaj se je izkazalo, da lahko kdorkoli, ki uporablja ES File Explorer, na daljavo ukrade katero koli datoteko iz svoje naprave v istem omrežju. O ranljivosti je poročal francoski varnostni raziskovalec Baptiste Robert, ki se uporablja pod spletnim psevdonimom "Elliot Alderson" - sklicevanje na protagonista televizijske oddaje Mr. Robot.
Izkoriščanje (prek TechCrunch) deluje prek vrat, ki se odprejo v napravi, ko odprete ES File Explorer. V bistvu se vsakič, ko zaženete aplikacijo, odpre spletni strežnik. Robert je napisal Python skript za dokaz koncepta, ki se lahko poveže z mobilno napravo, v kateri se izvaja aplikacija, se z njo poveže in prikaže seznam datotek določene vrste. Nato lahko prenese katero koli od teh datotek neposredno iz vašega telefona. To je precej resna ranljivost, saj lahko komur koli v istem omrežju omogoči prenos datoteke neposredno iz vašega telefona. Lahko celo zažene aplikacijo v vaši napravi.
Na srečo so razvijalci ES File Explorerja dali izjavo AndroidPolicein izkaže se, da je bila ranljivost že odpravljena.
"Odpravili smo težavo z ranljivostjo http in jo izdali. Čakam, da Googlov trg opravi pregled."
Ko bo posodobitev objavljena, pozivamo vse uporabnike, ki še vedno uporabljajo aplikacijo, da jo takoj posodobijo.
Posodobitev 1: Popravek se uvaja
Različica 4.1.9.9 se zdaj uvaja v Trgovini Play z dnevnikom sprememb, ki pravi "Odpravite ranljivost http v LAN-u." Če uporabljate različico v4.1.9.7.4 ali nižjo, preverite, ali je na voljo posodobitev.