Den populære fil-håndteringsapp ES File Explorer har stort sikkerhedshul

Android-appen ES File Explorer er designet, så den ganske enkelt kan være et tag-selv-bord for hackere, der går efter indholdet på din mobil. Selskabet bag erkender fejl.

Den populære fil-håndteringsapp ES File Explorer har stort sikkerhedshul

Android-appen ES File Explorer, der er en af de populære filhåndteringsapps til Android-systemet, lader til at have en alvorlig fejl. Fejlen gør, at en hacker, der er på samme Wi-Fi-net som dig, kan hente filer fra din telefon.

 

Sikkerhedshullet i ES File Explorer

Appen er downloadet over 100 millioner gange og giver adgang til telefonens hukommelse, så du kan se, arbejde med og dele filer. Det gør den godt og brugervenligt.

Problemet med appen er, at når den er aktiveret, bliver telefonen også en åben webserver. Det er i hvert fald det, der sker, ifølge en fransk sikkerhedsforsker Robert Baptiste. Han har undersøgt appen og fundet frem til problematikken. Misbruges dette, kan man manipulere appen.

Det skal ifølge Baptiste være nok, at appen har været åben en enkelt gang, for at give en anden person på samme Wi-Fi-net adgang til filerne på den.

Se også: Priser på de bedste smartphones

 

Muligt at hente alt, der nogensinde har været på telefonen

Sammen med oplysningerne og appens problem har han også uploadet en demonstration som bevis. Her ser vi, hvordan det via et stykke Javascript, han havde lavet, er muligt at udnytte den åbne webserver til at hente filer fra den pågældende telefon.

Det er også muligt at hente alt, der nogensinde har været downloadet til eller installeret på telefonen eller åbne andre apps.

Se også: Guide til de bedste apps

 

Sikkerhedshullet var en del af designet

Nu fungerer det kun, hvis man er koblet op på samme Wi-Fi, så det er ikke meget risikabelt. Der er dog masser af åbne Wi-Fi-netværk på caféer og lignende, hvor det i teorien kan ske, og det er i det hele taget foruroligende, at man overhovedet har designet appen på den måde.

Baptiste mener, at funktionen er en del af designet, og maler et scenarie: En kineser har appen installeret, sidder et sted, hvor der er et åbent Wi-Fi, og bum så har regeringen adgang til telefonen.

Appen har også en funktion, hvor man kan få adgang til filer på din telefon via en computer i nærheden, der er på samme Wi-Fi-net. Den funktion burde dog kun blive aktiv, når du slår den til, ikke være aktiv som standard.  Selskabet bag appen, ES Global, beklager fejlen og siger, at der snart kommer en opdatering, der fixer den.

Se også: Nyheder om IT sikkerhed