Популярното приложение за управление на файлове ES File Explorer позволява на всички във вашата Wi-Fi мрежа да видят съдържанието на смартфона ви. Това се дължи на факта, че приложението съдържа в себе си функционалност на уеб сървър. Злонамерено лице може да използва отворените портове на този уеб сървър, за да получи достъп до вашето устройство.
Откритието е на френския експерт по информационна сигурност Баптист Роберт. Той го е публикувал в профила си в Twitter.
With more than 100,000,000 downloads ES File Explorer is one of the most famous #Android file manager.
The surprise is: if you opened the app at least once, anyone connected to the same local network can remotely get a file from your phone https://t.co/Uv2ttQpUcN— Elliot Alderson (@fs0c131y) January 16, 2019
Използвайки написан от самия него скрипт, Роберт успял да експортира снимки, имена на приложения и файлове от устройство с инсталиран ES File Explorer. Той е публикувал видео, с което доказва ефективността на скрипта.
Единственото необходимо условие, за да заработи скриптът, е авторът му да е закачен към една и съща локална мрежа с жертвата си. Това означава, че хакер може да се свърже към безжичната мрежа в заведение или библиотека и да източи данните на потребителите, на чиито устройства има инсталиран ES File Explorer.
ES File Explorer е приложение за смартфони и таблети с Android и към момента има над 100 млн. сваляния в Google Play. Около 24 часа след публикуваната от Роберт информация компанията-разработчик на ES File Explorer все още не е коментирала официално случая.
Междувременно след разгласяването на проблема започнаха да се появяват публикации и за други уязвимости. Лукаш Стефанко от компанията за информационна сигурност ESET публикува в Twitter уязвимост в приложението, която позволява осъществяването на Man-In-The-Middle атака.
Thanks to @fs0c131y research, I found another local vulnerability in ES File Explorer app: Man-in-the-middle attack. #MITM
Attacker connected to the same local network can intercept HTTP traffic and exchange it for his own.https://t.co/5NCHTsyCsk
— Lukas Stefanko (@LukasStefanko) 16 януари 2019 г.
Съвети за потребителите
Ако използвате ES File Eplorer на смартфон или таблет, деинсталирайте го веднага.