La aplicación ES Explorer deja al descubierto los datos del usuario, incluyendo imágenes y vídeos

Alejo I
ES Explorer es una de las aplicaciones más populares de Android, en gran medida porque numerosos fabricantes lo introducen de serie en sus teléfonos para compensar la ausencia de un buen administrador de archivos nativo. Ahora, gracias a un investigador francés conocido como Elliot Alderson (nombre real Baptiste Robert y descubridor de la puerta trasera del OnePlus 6), también sabemos que posee una importante vulnerabilidad gracias a la cual es posible extraer información contenida en un móvil conectado a una red local.

Según ha descubierto Alderson, ES Explorer ejecuta un servidor HTTP que puede ser explotado para lanzar diversos ataques en una red local. Usando un script bastante sencillo, el investigador ha demostrado la la facilidad con la que se pueden extraer fotos, vídeos y nombres de aplicaciones, así como datos contenidos en las tarjetas de memoria. Por si esto no fuera suficiente, también es posible ejecutar aplicaciones de forma remota.

Vídeo publicado por @fs0c131y/Elliot Alderson mostrando la facilidad con la que se puede descargar una fotografía.

El fallo, como decíamos, debe ser explotado en una red local, lo que en cierto modo limita los riesgos para el usuario común (aunque aquellos que se conecten a redes públicas harían muy bien en protegerse). No obstante, y dada la popularidad de ES Explorer, que acumula más de 500 millones de descargas según sus creadores, los administradores de sistemas de empresas y organizaciones tienen motivos para tomar precauciones frente a posibles ataques.

De acuerdo con Alderson, este agujero no es tanto un descuido como una "prestación" incorporada en el propio diseño de ES Explorer y que podría ser fácilmente explotada por las autoridades chinas (la aplicación es desarrollada por ES Global, situada en el país asiático). Solo así se explica que ES Explorer lance nada más arrancar un servidor HTTP y abra el puerto 59777, por donde se puede colar un atacante.
Fuente: TechCrunch