Apesar de ser um sistema aberto, o Android não tem um sistema de gestão de ficheiros nativo. As propostas são muitas na Play Store, com propostas para todos os gostos e necessidades.
Como é óbvio as aplicações deste género necessitam de permissões para funcionarem correctamente e daí têm o dever de ser seguras e respeitar o utilizador.
Foi agora revelado que o ES File Explorer tem uma falha de segurança grave e que coloca em risco os utilizadores.
O ES File Explorer é um dos gestores de ficheiros mais usados no universo Android. Esta app dá acesso a um conjunto de funcionalidades que vão para lá da gestão de ficheiros.
Foi agora revelado que esta app tem escondida um problema de segurança grave porque dá acesso aos ficheiros do Android. Esta app tem no seu interior um servidor HTTP, conforme foi revelado que permite acesso aos ficheiros de forma directa. Sempre que o utilizador lança a app no smartphone, este servidor é acordado e fica disponível.
Qualquer outro equipamento que esteja na mesma rede Wi-Fi pode aceder ao porto 59777 e pode listar os ficheiros presentes no Android. Este problema vai ao ponto de permitir que sejam listados dados do equipamento ou desinstaladas apps do Android.
O investigador de segurança criou um script que consegue explorar e provar a falha que foi descoberta e que está no ES File Explorer. Este está público, no GitHub e pode ser usado por qualquer um. É também revelado que esta falha não está em todas as versões do ES File Explorer. Esta pode ser encontrado na versão 4.1.9.5.2 e posteriores.
O que está aqui em questão?
A falha pode não ser inocente nesta app Android. Sem ter uma certeza completa, o investigador avança que esta pode ser uma falha criada propositadamente. Esta falha poderia ser usada para aceder a ficheiros numa rede Wi-Fi pública.
A única solução que existe por agora é apenas a utilização de ligações de dados móveis a fim de ser for usado o ES File Explorer. Assim, não será possível ao atacante aceder ao IP do smartphone e ao servidor HTTP.
Posição da Google
Depois de afastar o programador “Do Global” e respectivas apps da loja de aplicações do Android, a gigante das pesquisas baniu agora a app ES File Explorer.
Depois de ser detectada uma grave falha de segurança, a Google descobriu agora que afinal o ES File Explorer também pertence ao grupo “Do Global”, apesar de aparecer listado como pertencendo ao “ES Global”, que afinal é um sub-grupo do “Do Global” para ultrapassar as limitações impostas pela Google.
Além de remover a app, a Google baniu também o programador “ES Global”. A "Do Global" tinha sido removida devido a esquema de fraude de anúncios. Outro relatório do BuzzFeed e da Check Point Security detalhou que várias aplicações do DO Global na Play Store usavam um pouco de código que faria com que as aplicações clicassem nos anúncios mesmo que o utilizador não estivesse na aplicação. Além disso, as aplicações ocultavam o facto de que eles eram de propriedade da DO Global, colocando políticas de privacidade no Tumblr e usando nomes genéricos de programadores.
Soluções
Ainda podes utilizar por tua conta e risco, mas enquanto a falha não for corrigida não é aconselhável. Principalmente em Wifis Publicas.
Não e fácil substituir o ES File Explorer mas existem boas soluções.
Deixo aqui uma lista em baixo:
X-plore file manager. Para mim o melhor,algo povoado mas faz tudo.
ResponderEliminar