Quand le plus téléchargé des explorateurs de fichiers donne accès à vos photos et vos fichiers

 
Très populaire, l’explorateur de fichier ES File Explorer sur Android est victime d’une faille de sécurité. Celle-ci permet à un pirate de récupérer n’importe quel fichier stocké sur votre smartphone.

Particulièrement populaire et téléchargé plus de 100 millions de fois sur le Google Play Store, l’explorateur de fichier ES File Explorer a connu une faille de sécurité majeure comme l’a relevé l’expert en sécurité informatique Baptiste Robert, connu sous le pseudonyme d’Elliot Alderson.

Dans un fil Twitter publié mercredi, le développeur, dont nous avions dressé le portrait il y a un peu plus d’un an, expliquait en effet qu’une faille d’ES File Explorer permettait à n’importe qui connecté sur le même réseau Wi-Fi de récupérer des fichiers stockés sur un smartphone avec File Explorer installé.

Une faille en cours de résolution

« Techniquement, chaque fois qu’un utilisateur lance l’application, un serveur HTTP est ouvert. Ce serveur ouvre localement le port 59777. Sur ce port, une personne mal intentionnée peut envoyer un paquet JSON sur la cible », explique Elliot Alderson. Ce paquet JSON, qui peut encapsuler différentes instructions, peut notamment servir à exfiltrer des fichiers stockés sur le smartphone de la victime, qu’il s’agisse de photographies, d’une liste des applications installées, de vidéos ou de votre carnet d’adresses.

Les développeurs de l’application ont finalement expliqué au site Android Police avoir corrigé la faille : « Nous avons réparé la vulnérabilité http et avons publié le correctif. Nous attendons désormais que Google valide la nouvelle version ». A l’heure de la publication de cet article, la nouvelle version n’est pas encore disponible sur le Google Play Store.

Pour aller plus loin
« Les gens ne doivent pas faire confiance aux constructeurs de téléphones », portrait d’un lanceur d’alerte

 


Envie de rejoindre une communauté de passionnés ? Notre Discord vous accueille, c’est un lieu d’entraide et de passion autour de la tech.

Les derniers articles