Уразливість у ES File Explorer дозволяє зловмиснику в тій самій мережі викрасти будь-який файл із вашого пристрою. Це буде виправлено.
Оновлення 18.01.19 о 16:00 за київським часом: розробники ES File Explorer випустили оновлення своєї програми, яке усуває вразливість.
ES File Explorer колись рекламували як в файловий провідник, щоб перемогти, перш ніж викупити Cheetah Mobile. Програма швидко була завалена рекламою, але ті, хто має преміум-версії програми, могли продовжувати нею користуватися. Навіть зараз я знаю людей, які досі використовувати безкоштовну версію програми, посилаючись на те, що вона «просто працює». Це незважаючи на те, що існує багато альтернатив, які також просто кращі за всіма напрямками. MiXplorer, FX File Explorer і Solid Explorer, це лише деякі з них. Тепер виявилося, що будь-хто, хто використовує ES File Explorer, може віддалено вкрасти будь-який файл зі свого пристрою кимось у тій самій мережі. Про вразливість повідомив французький дослідник безпеки Баптіст Робер, який користується онлайн-псевдонімом «Елліот Олдерсон» — відсилання до головного героя телешоу містера Робота.
Експлойт (через TechCrunch) працює через порт, який відкривається на пристрої, коли відкривається ES File Explorer. По суті, щоразу, коли ви запускаєте програму, відкривається веб-сервер. Роберт написав сценарій для підтвердження концепції Python, який може підключатися до мобільного пристрою, на якому запущено додаток, підключатися до нього та виводити список файлів певного типу. Потім він може завантажити будь-який із цих файлів безпосередньо з вашого телефону. Це досить серйозна вразливість, оскільки вона може дозволити будь-кому в одній мережі завантажити файл прямо з вашого телефону. Він також може запускати програму на вашому пристрої.
На щастя, розробники ES File Explorer зробили заяву AndroidPoliceі виявляється, що вразливість уже виправлена.
«Ми виправили проблему вразливості http і випустили її. Чекаємо, поки Google Market пройде перевірку».
Після виходу оновлення ми закликаємо всіх користувачів, які все ще використовують програму, негайно оновити її.
Оновлення 1. Розгортання виправлень
Версія 4.1.9.9 зараз розгортається в Play Store із журналом змін, у якому написано «Виправити вразливість http у локальній мережі». Якщо у вас версія v4.1.9.7.4 або нижче, перевірте наявність оновлення.