Популярный файловый менеджер для Android позволяет красть чужие данные
Один из популярнейших мобильных файловых менеджеров ES File Explorer, известный как «ES Проводник», скрывает в своём коде опасную уязвимость. Её обнаружил французский исследователь в области безопасности Баптист Роберт. По его словам, через это приложение можно получить доступ к данным других пользователей.
ES File Explorer, помимо доступа к содержимому мобильного устройства, позволяет управлять данными на FTP, FTPS, SFTP и WebDAV-серверах, а также в облачных хранилищах. Кроме того, с его помощью можно копировать и вставлять файлы между устройствами по Bluetooth. Но обнаруженный экспертом открытый порт с помощью специального скрипта открывает доступ к изображениям, видео и данным на карте памяти другого устройства, находящегося в той же локальной сети Wi-Fi. Более того, злоумышленник даже может удалённо запустить вредоносное приложение на смартфоне жертвы.
Специальный скрипт позволяет украсть данные с другого Android-устройства через ES File Explorer
Эксперт отправил отчёт разработчикам приложения, но они пока не дали своих комментариев. Некоторые считают, что в такой особенности файлового менеджера нет ничего страшного, ведь злоумышленнику нужно находиться в одной сети с жертвой. Вот только при количестве установок свыше 500 миллионов найти пользователя с ES File Explorer на смартфоне в любой открытой Wi-Fi-сети не должно составить труда.
Источник: techcrunch.com