ช่องโหว่ใน ES File Explorer ทำให้ผู้โจมตีบนเครือข่ายเดียวกันสามารถขโมยไฟล์ใดๆ จากอุปกรณ์ของคุณได้ มันจะได้รับการแก้ไข
อัปเดต 18/1/62 @ 16:00 น. CT: ผู้พัฒนา ES File Explorer ได้ออกการอัปเดตแอปของตนเพื่อแก้ไขช่องโหว่
ES File Explorer เคยถูกขนานนามว่าเป็น ที่ file explorer ที่จะเอาชนะก่อนที่จะถูกซื้อออกไป เสือชีตาห์มือถือ. แอปพลิเคชั่นนี้เต็มไปด้วยโฆษณาอย่างรวดเร็ว แต่ผู้ที่มีแอปพลิเคชั่นเวอร์ชันพรีเมี่ยมอาจยังคงใช้งานต่อไป แม้ตอนนี้ฉันรู้จักคนที่ นิ่ง ใช้แอปพลิเคชันเวอร์ชันฟรีโดยอ้างว่า "ใช้งานได้" แม้ว่าจะมีทางเลือกมากมายที่ดีกว่าทั่วกระดานก็ตาม MiXplorer, FX File Explorer และ Solid Explorer และอื่นๆ อีกมากมาย ตอนนี้ปรากฎว่าใครก็ตามที่ใช้ ES File Explorer สามารถถูกขโมยไฟล์จากอุปกรณ์ของตนจากระยะไกลโดยใครบางคนในเครือข่ายเดียวกัน ช่องโหว่นี้รายงานโดย Baptiste Robert นักวิจัยด้านความปลอดภัยชาวฝรั่งเศส ที่ใช้นามแฝงออนไลน์ว่า "Elliot Alderson" ซึ่งอ้างอิงถึงตัวละครเอกของรายการทีวี Mr. Robot
การแสวงหาประโยชน์ (ผ่าน เทคครันช์) ทำงานโดยพอร์ตที่เปิดบนอุปกรณ์เมื่อเปิด ES File Explorer โดยพื้นฐานแล้ว ทุกครั้งที่คุณเปิดแอปพลิเคชัน เว็บเซิร์ฟเวอร์จะถูกเปิดขึ้น Robert เขียนบทพิสูจน์แนวคิดสคริปต์ Python ที่สามารถเชื่อมต่อกับอุปกรณ์มือถือที่รันแอพ เชื่อมต่อ และแสดงรายการไฟล์บางประเภท จากนั้นจะสามารถดาวน์โหลดไฟล์ใดๆ เหล่านั้นได้โดยตรงจากโทรศัพท์ของคุณ มันเป็นช่องโหว่ที่ร้ายแรงมากเพราะอาจทำให้ใครก็ตามที่อยู่ในเครือข่ายเดียวกันสามารถดาวน์โหลดไฟล์จากโทรศัพท์ของคุณได้โดยตรง มันยังสามารถเปิดแอพบนอุปกรณ์ของคุณได้เช่นกัน
โชคดีที่ผู้พัฒนา ES File Explorer ได้ออกแถลงการณ์ หุ่นยนต์ตำรวจและปรากฎว่าช่องโหว่ได้รับการแก้ไขแล้ว
"เราได้แก้ไขปัญหาช่องโหว่ http และเผยแพร่แล้ว รอให้ตลาด Google ผ่านการตรวจสอบ"
เมื่อการอัปเดตสิ้นสุดลง เราขอแนะนำให้ผู้ใช้ที่ยังคงใช้แอปพลิเคชันนี้อัปเดตทันที
อัปเดต 1: แก้ไขการเปิดตัว
ขณะนี้เวอร์ชัน 4.1.9.9 เปิดตัวใน Play Store พร้อมบันทึกการเปลี่ยนแปลงที่ระบุว่า "แก้ไขช่องโหว่ http ใน LAN" หากคุณใช้เวอร์ชัน v4.1.9.7.4 หรือต่ำกว่า ให้ตรวจสอบการอัปเดต