Plusieurs vulnérabilités importantes découvertes dans l'explorateur de fichiers ES File Explorer

Un chercheur en sécurité français, Baptiste Robert (sous le pseudonyme de Elliot Alderson), a découvert une vulnérabilité importante dans l'explorateur de fichiers pour Android ES File Explorer.

La faille de sécurité permettrait à un attaquant connecté sur le même réseau local d'obtenir à distance des fichiers sur le téléphone de la victime à partir du moment ou l'application aurait été lancée au moins une fois. L'explorateur de fichiers permet de parcourir le contenu du terminal et assure la gestion des fichiers, des applications et des supports d'espaces de stockage (pour les déplacer, les partager, les supprimer...).

Cette vulnérabilité semble importante puisque l'application est très largement utilisée. 300 millions de téléchargements sont à aujourd'hui dénombrés sur le magasin d'applications Google Play et plus de 100 millions d'installations sont comptabilisées.

Détails techniques :

CVE-2019-6447 [CVSS v3 8.1] : Lors de son exécution, l'application ES File Explorer lance une requête HTTP sur le port 59777 qui laisse ensuite le téléphone ouvert à des requêtes de toute personne étant connectée sur la même réseau local. L'attaquant distant présent sur le même réseau pourra récupérer des informations tant sur les applications (liste des applications installées) que sur les fichiers enregistrés sur l'appareil (fichiers, photos, vidéos, enregistrements audio) via une charge utile avec des instructions dans un format JSON. Si les conditions à remplir sont spécifiques, elles restent relativement plausibles en matière d'exploitation en prenant en considération les nombreux points de connexion Wifi proposés dans les lieux publics tels que les aéroports, les centres commerciaux, les gares...

D'autres vulnérabilités ont été également identifiées sur cette application. Elles ont été mises en lumière par des chercheurs tels que Lukas Stefanko, chercheur de la société ESET, portant sur une vulnérabilité permettant à un attaquant connecté sur le même réseau que sa victime de conduire des attaques de l'homme du milieu (MITM).