اگر از اپلیکیشن اندرویدی ES فایل اکسپلورر در گوشی یا تبلت خود استفاده میکنید باید مراقب مشکل امنیتی بزرگ کشف شده در این نرم افزار مدیریت فایل باشید. یک کارشناس امنیتی موفق شده یک حفرهی امنیتی بزرگ در این اپلیکیشن بیابد که باعث میشود همهی اطلاعات شخصی شما به راحتی در اختیار یک هکر قرار بگیرد.
نرم افزار ES فایل اکسپلورر که بیش از ۱۰۰ میلیون دانلود از پلی استور دریافت کرده یکی از بهترین اپلیکیشنهای مدیریت فایل در اندروید محسوب میشود. این اپلیکیشن کاملا رایگان است اما میتوان آن را به نسخهی پریمیوم ارتقا داد که تبلیغات را از برنامه حذف میکند و چند ویژگی جدید به آن میافزاید.
بر اساس گفتههای Baptist Robert -محقق امنیتی فرانسوی که از نام مستعار «الیوت آلدرسن» در بسیاری از فرومها استفاده میکند- نرم افزار ES فایل اکسپلورر دارای یک وب سرور بسیار کوچک است.
اگرچه رابرت به طور کامل مطمئن نیست چرا یک وب سرور کوچک باید برای این اپلیکیشن تعبیه شود (بر این عقیده است که دلیل وجود این وب سرور شاید برای این باشد که بتوان از طریق اپلیکیشن و پروتکل HTTP به استریم ویدیو پرداخت) اما بر این باور است که هر هکر در شبکهی مشابه با دستگاه دارای اپلیکیشن یاد شده، میتواند از پورتهای باز در وب سرور برای دسترسی به فایلهای درون دستگاه استفاده نماید.
وقتی یک هکر به دسترسیهای لازم از پورتهای باز شده رسید، به صورت تئوری میتواند هر فایلی که دلش بخواهد را از دستگاه اندرویدی به دست آورد. این فایلها میتوانند شامل عکسها، ویدیوها، فایلهای متنی و ... باشند. حتی امکان اجرای اپلیکیشن از راه دور نیز در دستگاهها امکان پذیر خواهد بود.
بدون شک این آسیب پذیری تنها زمانی مشکل ساز میشود که همراه با هکر در یک شبکهی اینترنتی قرار داشته باشید. موضوعی که نیازمند آن است که عموما از یک شبکهی وای فای مشترک دسترسی به اینترنت وجود داشته باشد. به عبارت سادهتر تقریبا امکان دسترسی هکرها به اطلاعات شما در خانه نزدیک به صفر است، اما در محیطهای عمومی مثل کتابخانه، دانشگاه، رستوران و کافی شاپها آسیب پذیر خواهید بود.
در ادامه ویدیویی را مشاهده خواهید کرد که «الیوت آلدرسون» از آسیب پذیری اپلیکیشن ES فایل اکسلپورر منتشر کرده است:
[تاریخ انتشار خبر اولیه: 27 دی 97]
به روز رسانی: به گزارش وبسایت اندروید پلیس در تماس با توسعه دهنده این اپلیکیشن مشخص شد که آسیب پذیری http بر طرف شده است و نسخه نهایی در انتظار بررسی توسط گوگل برای عرضه است.