注意 アクセス制限がなく アクセスがそのままできたとしても不正アクセス禁止法の対象になる場合があるようですこれは こういう事象もあるため 操作に注意してください という記事ですのでMoperaのネットワークをスキャンするようなことは 決してしないでください
事象
Android端末のファイルマネージャーとして 1・2を争うぐらい 便利に使える
ESファイルマネージャーなのですが 特定条件で 外部からファイルが参照できてしまうようです。
事の発端はSGS2をいじっているときに
ESファイルエクスプローラーの「ネット」タブに
DropBOXをマウントし 音楽ファイルを再生すると
プレーヤーのファイル名の欄に 127.0.0.1:~のアドレスが表示され
「もしかして ローカルに鯖たててる?!!!」 と
不安に思い検証してみました。
—
追記
—
ネットのタブだけでなくFTP・LANのタブでも同じ挙動をします。
ローカルファイルでも 操作により 発動します ⇒検証3
音楽ファイルだけでなく MP4などの動画ファイルでも発動します。
画像では発動せず。
—-追記ココまで—
IPアドレスが 自宅Wifiで振られたIP ポート番号は 決め打ちです
はい。。。 中身がまるっと見えちゃいました。。。
画像などもぜんぶ参照できちゃいます。
↓ScreenShotフォルダを参照した状態
特定条件でしか発動しないとはいえどうなのよこの仕様。。。
Bloger的には画像が参照しやすくていいですが
WANからも見れてしまう場合完全にセキュリティホール。
検証1:ローカルにある音楽ファイルを再生した場合 外部からみれるか
一般的なパターンで 端末内にある MP3をタップして
メディアプレーヤーで再生する場合。
→
発動せず。
検証2 auのNAT内から NAT同士だと見れてしまうのか?
結論 同じNATに入ってればみれる
Twitpic – Share photos and videos on Twitter
↑はぼくの回線のなかにあるわけじゃないですが
auの回線上からみえちゃってます。。。
NATなので 収容している鯖が違えば 見えることはありませんが
数千・数万収容されてる可能性がある中では・・・
au回線はNATなので キャリア外からアクセスされることは
よっぽどの限りありませんが
この仕様だと グローバルIPが割り当てられた場合 まるっとみれることになります。
そして ESファイルエクスプローラーの作者に悪意があったとしたら・・・
今のところ思いつく対策は ESファイルマネージャを使用する場合は
自宅Wifi以外では FTP/LAN/ネットタブのオーディオ・ビデオファイルを再生しない ぐらいでしょうか?
———————
追記
Galaxys2だったのでSDカードと書いていましたが
どうやら 非ROOTで見れるUserデータすべてを読めてしまうようです。
———–
DocomoのMoperaだと
グローバルIPが割り当てされるため
もろ 世界から見えてしまうようです。
これがいちばんやばそう
