Proponha uma correção, faça uma sugestão
Alerta, o melhor gestor de ficheiros do Android tem uma falha de segurança grave
Apesar de ser um sistema aberto, o Android não tem um sistema de gestão de ficheiros nativo. As propostas são muitas na Play Store, com propostas para todos os gostos e necessidades.
Uma app destas tem algumas premissas de segurança, que deve respeitar. Mas foi agora revelado que o ES File Explorer tem uma falha de segurança grave e que coloca em risco os utilizadores.
O ES File Explorer é um dos gestores de ficheiros mais usados no universo Android. Esta app dá acesso a um conjunto de funcionalidades que vão para lá da gestão de ficheiros.
Falha grave de segurança no ES File Explorer
Foi agora revelado que esta app tem escondida um problema de segurança grave porque dá acesso aos ficheiros do Android. O investigador de segurança Baptiste Robert revelou a falha e explicou como pode ser explorada.
Esta app tem no seu interior um servidor HTTP, conforme foi revelado que permite acesso aos ficheiros de forma direta. Sempre que o utilizador lança a app no smartphone, este servidor é acordado e fica disponível.
Como podem explorar a falha deste gestor de ficheiros
Qualquer outro equipamento que esteja na mesma rede Wi-Fi pode aceder ao porto 59777 e pode listar os ficheiros presentes no Android. Este problema vai ao ponto de permitir que sejam listados dados do equipamento ou desinstaladas apps do Android.
O investigador de segurança criou um script que consegue explorar e provar a falha que foi descoberta e que está no ES File Explorer. Este está público, no GitHub e pode ser usado por qualquer um.
É também revelado que esta falha não está em todas as versões do ES File Explorer. Esta pode ser encontrado na versão 4.1.9.5.2 e posteriores. Neste momento, na Play Stores, está a versão 4.1.9.7.4.
Worth to say, I'm convinced this "feature" has been implemented by design. Imagine a scenario: I'm Chinese, I have ES File Explorer installed on my phone. I'm on the subway and I used to connect to the public wifi. "The authorities" can use this "feature" against me. pic.twitter.com/XFXU3lkTBo
— Elliot Alderson (@fs0c131y) January 16, 2019
Uma falha que pode não ser inocente nesta app Android
Sem ter uma certeza completa, o investigador avança que esta pode ser uma falha criada propositadamente. O exemplo apresentado mostra como poderia ser usada a falha para aceder a ficheiros numa rede Wi-Fi pública.
A única solução que existe por agora é apenas a utilização de ligações de dados móveis a fim de ser for usado o ES File Explorer. Assim, não será possível ao atacante aceder ao IP do smartphone e ao servidor HTTP.
O criador desta app, a empresa EStrongs ainda não veio a público defender-se ou reconhecer o problema. Com mais de cem milhões de downloads, esta é uma app que muitos usam, o que revela por fim o real impacto desta falha.
Este artigo tem mais de um ano
Loading ...
Na minha opinião o melhor explorador de ficheiros é o FX File Explorer.
Ios e bem melhor e o unico so mobile com file manager nativo , o files. Android precisa de 3rd party apps para fazer o que o ios tem seguro e fiavel de fabrica
“o Android não tem um sistema de ficheiros nativo”
Não seria antes:
“”o Android não tem um sistema de gestão de ficheiros nativo”
?
Uma coisa é “a estrada da beira” outra coisa é “a beira da estrada”
🙂
O joao não sabe escrever, apesar de querer ser da elite. O iphone dele não funciona lá muito bem na parte do teclado.
Uso o FX File Explorer já há muitos anos, parece-me que o problema se resolve aplicando uma autenticação para o acesso pela porta.
O es file Explorer não é o melhor explorador de ficheiros. Isso é uma afirmação demasiado subjetiva para colocar neste site!
Deixei o es á 2 anos e mudei para o total commander que funciona muito bem é completo e não tem publicidade ou spam…
Uso o Solid Explorer a anos, me atende em tudo
Boas alguém me pode ajudar tenho está app mas dá me um erro na ligação ao One drive, faço a autenticação corre tudo bem quando vou a APP e clico no ícone para a abrir diz “93081500@onedrive/ não foi encontrado” alguém já teve este problema , peço desculpa se não for o sítio certo para colocar a dúvida.
Android e so falhas de seguranca virus por isso a elite da sociedade so usa iphone. Infelizmente quem nao pertence a elite tem de aguentar o fraco e vulnerável android
Não sei se é para rir ou se é para chorar.
Com a quantidade de erros de escrita que dás, ou és um miúdo com a mania de ser elitista ou um pobre desgraçado que deseja muito um iphone de última geração mas não consegue.
Se queres ser da “elite” vai primeiro aprender a escrever bem usar acentos e pontuação. Ninguém da elite escreve como tu!
Alguem liga a como se escreve comentarios? Sei escrever bem mas isto não e um artigo e por isso não interessa…nem todos tem tanto tempo livre como o palerma do nabais para andar a ver erros de comentários. Se trabalhasses mais tinhas dinheiro para um e assim a procura de erros não passas de mais um frustrado com um lagdroid
Comentário típico de uma pessoa simplória, que não é membro da elite e nem escrever sabe!
E tem mais respeito que provavelmente tenho idade para ser teu pai.
Envergonhas-nos a nós utilizadores da Apple.
E não preciso de trabalhar mais, fica descansado que felizmente tenho dinheiro para comprar mais de 1000 iphones.
Se tens dúvidas marcamos um encontro, é sem problema.
Vá um abracinho e vê lá se prestas mas atenção nas aulas de português, que isso de dizeres que sabes escrever bem mas não o fazes porque “ninguém liga ao que se escreve nos comentários” não convence ninguém.
Ah ah ah! É engraçado ver como há pessoas assim!
Amaze Explorer
Atenção que aparentemente isto apenas esta porta apenas está a aberta na versão gratuita da app.
“My testing on the pro and non-pro versions shows that this doesn’t work exactly the same way on pro. The port is definitely open but it doesn’t like any of the commands from the POC. That’s not to say that it might not respond to different commands.
curl –header “Content-Type: application/json” –request POST –data ‘{“command”:listApps}’ http://10.0.0.x:59777
SERVER INTERNAL ERROR: Serve() returned a null response.”
Fonte: https://www.reddit.com/r/netsec/comments/agk363/es_file_explorer_open_port_vulnerability/
Já aos anos que o ES File Explorer é desaconselhado. Já foi bom, mas depois começaram a meter bloatware na app e sinceramente, para uma app que é simplesmente um gestor de ficheiros, não justifica de todo, o que mais há é file managers. Aqui está um artigo de 2016 onde já o desaconselhavam nessa altura.
Amaze File Explorer é uma grande alternativa gratuita:
https://play.google.com/store/apps/details?id=com.amaze.filemanager&hl=pt
Faltou o artigo:
https://www.androidpit.com/this-is-why-you-should-not-use-es-file-explorer
Eu desinstalei este explorador porque me estava a consumir bateria, lol
O gestor de ficheiros do Huawei serve-me muito bem. Não sinto necessidade de outro.