ES File Explorerがまた端末内部を外部から参照できる脆弱性、悪質すぎる。

NO IMAGE

7年前に各所に助言をいただきつつ

JPCERT/CC 様経由で解消したと思われていた脆弱性がまたふたたび!となっているようです。

 

ESファイルエクスプローラーでUserディレクトリの中身が外部から見られてしまう恐れ

 

 

 

今回はさらに外部からスプリクトを実行可能となっているようで

さらにひどい様相。

 

なお、以前よりAndroidスマートフォンが

外部からアクセスできるグローバルIPアドレスで直接通信することは減っており

想定されるリスクはかなり低くはなっていると思われます。

しかしこのアプリは、楽屋裏で機能最小限のWebサーバーを、そのデバイスの上で動かしている。それによってAndroidデバイスの全体をオープンにしてしまい、データ窃盗などの攻撃の、為すがままになる。

情報源: Android用アプリES File Explorerに脆弱性。十分な告知なくWebサーバーが起動 – Engadget 日本版