Оновлення, 18 січня 2019 (13:15 ET): Вчора ми отримали слово від ES App Group, творців ES File Explorer. Компанія повідомила нам, що вразливість HTTP, як описано у статті нижче, виправлена.
Однак нова версія додатка повинна була пройти процедуру затвердження перед запуском у Google Play Store. Цей період очікування закінчився, оскільки нова версія програми тепер доступна для завантаження.
Натисніть кнопку нижче, щоб переконатися, що ви перебуваєте на останньому оновлення ES File Explorer, щоб ви не були вразливими до попереднього недоліку безпеки.
Оригінальна стаття, 16 січня 2019 (10:07 ранку ET): Якщо ви використовуєте популярний додаток Android ES File Explorer на будь-якому зі своїх смартфонів або планшетів Android, будьте обережні: дослідник безпеки виявив вразливість у додатку, яка дозволить хакеру отримати доступ до конфіденційної інформації на вашому пристрої (через TechCrunch).
ES File Explorer - у якому понад 100 мільйонів встановлень на Google Play Store - це дуже простий та ефективний додаток для управління файлами для Android. Додаток повністю безкоштовний з можливістю оновлення до ES File Manager Pro, що видаляє рекламу та пропонує вибір нових функцій.
За словами Baptiste Robert - французького дослідника безпеки, який використовує псевдонім "Elliot Alderson" на деяких онлайн-форумах, програма ES File Explorer включає крихітний прихований веб-сервер. Хоча Роберт не зовсім впевнений, чому веб-сервер є (він вважає, що це може стосуватися передачі відео в інші додатки за допомогою HTTP), він зробив висновок, що будь-який хакер у тій же мережі, що і пристрій, може використовувати відкриті порти, підключені до веб-сервер для отримання доступу до пристрою.
Як тільки хакер отримує доступ через відкритий порт, він теоретично може взяти практично будь-який файл з пристрою Android - включаючи фотографії, відео, текстові файли тощо - та перенести його на будь-який інший сервер, до якого він також мав доступ. Вони також могли віддалено запускати програми на експлуатованому пристрої.
Очевидно, що ця вразливість стає проблемою лише в тому випадку, якщо ви знаходитесь в тій самій мережі, що і хакер, яка зазвичай передбачає підключення до тієї ж мережі Wi-Fi. Іншими словами, небезпеки цієї вразливості, коли ви перебуваєте вдома, незначні, але небезпека зростає експоненціально, якщо ви знаходитесь у загальнодоступній мережі, наприклад, у кафе, аеропортах, бібліотеках тощо.
Ми намагалися зв’язатися з ES App Group, творцями ES File Explorer, щоб отримати заяву з цього питання безпеки. Однак ми не чули раніше часу преси. Ми оновимо цю статтю, якщо і коли отримаємо відповідь (ED: Див. Вище для твердження).
Тим часом це не дозволить вам використовувати ES File Explorer? Якщо так, ось список альтернативних варіантів або звук у коментарях із вибраним вами додатком файлового провідника.
