Mise à jour du 18 janvier 2019 (13h15 HE): Hier, nous avons reçu un message d'ES App Group, les créateurs de ES File Explorer. La société nous a informés que la vulnérabilité HTTP décrite dans l’article ci-dessous a été corrigée.

Cependant, la nouvelle version de l'application devait passer par un processus d'approbation avant d'être lancée sur le Google Play Store. Cette période d'attente est terminée car la nouvelle version de l'application est maintenant en ligne et disponible au téléchargement.

Cliquez sur le bouton ci-dessous pour vous assurer que vous utilisez la dernière mise à jour de ES File Explorer afin de ne pas être vulnérable à la précédente faille de sécurité.

Article original du 16 janvier 2019 (10h07 HE): Si vous utilisez la populaire application Android ES File Explorer sur l’un de vos smartphones ou tablettes Android, faites attention: un chercheur en sécurité a découvert une vulnérabilité dans l’application qui permettrait à un pirate d’accéder à des informations sensibles sur votre appareil (via TechCrunch).

ES File Explorer - qui compte plus de 100 millions d'installations sur le Google Play Store - est une application de gestion de fichiers très simple et efficace pour Android. L'application est totalement gratuite avec une option de mise à niveau vers ES File Manager Pro, qui supprime les publicités et propose une sélection de nouvelles fonctionnalités.

Selon Baptiste Robert, chercheur en sécurité français qui utilise le pseudonyme «Elliot Alderson» sur certains forums en ligne, l'application ES File Explorer comprend un minuscule serveur Web caché. Bien que Robert ne sache pas très bien pourquoi le serveur Web est présent (il affirme que cela pourrait être dû au streaming vidéo vers d'autres applications via HTTP), il a conclu que tout pirate informatique sur le même réseau que le périphérique pouvait utiliser les ports ouverts connectés au serveur. serveur Web pour accéder à l'appareil.

Une fois que le pirate a accès via le port ouvert, il peut théoriquement prendre presque tous les fichiers du périphérique Android - y compris les photos, les vidéos, les fichiers texte, etc. - et les transférer sur tout autre serveur auquel ils ont également accès. Ils pourraient également lancer des applications à distance sur le périphérique exploité.

Évidemment, cette vulnérabilité ne devient un problème que si vous êtes sur le même réseau que le pirate informatique, ce qui implique généralement d’être connecté au même réseau Wi-Fi. En d'autres termes, les dangers de cette vulnérabilité lorsque vous êtes chez vous sont minces, mais ils augmentent de manière exponentielle si vous êtes sur un réseau public tel que celui des cafés, aéroports, bibliothèques, etc.

Nous avons tenté de contacter ES App Group, les créateurs de ES File Explorer, pour obtenir une déclaration sur ce problème de sécurité. Cependant, nous n'avons pas entendu de retour avant l'heure de la presse. Nous mettrons à jour cet article si et quand nous recevons une réponse (ED: Voir ci-dessus pour la déclaration).

En attendant, cela vous empêchera-t-il d'utiliser ES File Explorer? Si tel est le cas, voici une liste d’alternatives, ou sonnez dans les commentaires avec votre application d’explorateur de fichiers de choix.