ES File Explorer : comment une faille dans l’application permet d’accéder à toutes vos données

Certains l’apprécient et d’autres non. ES File Explorer reste néanmoins l’un des explorateurs de fichiers les plus populaires sur smartphone. Un chercheur en sécurité Français vient d’y déceler une faille critique qui permet à une personne tierce d’accéder à toutes vos données personnelles.

Es explorer

Android regorge d’explorateurs de fichiers pour gérer de manière ergonomique les données présentes sur votre smartphone. Es File Explorer est loin d’être un inconnu au bataillon pour être l’une des applications les plus anciennes dans ce domaine, et logiquement l’une des plus téléchargées à ce jour : plus 100 millions de téléchargements sur le Google Play Store. Si vous l’utilisez, vous avez été exposé longtemps à une faille critique.

Comment ES File Explorer permet à des personnes tierces d’accéder à vos fichiers personnels

Baptiste Robert , un expert Français en sécurité informatique qui se fait également appeler par son pseudonyme Elliot Alderson a publié plusieurs tweets cette semaine dans lesquels parle d’une faille identifiée dans le célèbre gestionnaire de fichiers. La vulnérabilité permet à n’importe quelle personne connectée au même réseau que sa cible d’accéder aux contenus de son smartphone : photos, vidéos, documents personnels, applications, etc. Une faille qui ne redore pas le blason de Es File Explorer qui est souvent critiqué pour la lourdeur de ses publicités, mais aussi des bloatwares intégrés.

À l’aide d’un simple script, le chercheur a montré comment il pouvait non seulement accéder aux fichiers, mais aussi les récupérer sur un autre appareil connecté au même réseau local. Il est également possible de lancer une application à distance sur le smartphone de la victime.

Le spécialiste explique que lorsque le gestionnaire Es File Explorer est lancé une fois, il se connecte à un serveur HTTP sur le port 59777. Cela laisse un trou béant qui permet à un utilisateur tiers disposant de suffisamment de connaissances techniques d’exploiter la faille pour accéder à aux données personnelles de sa cible.

Selon le site Techcrunch qui a été le premier contacté par le chercheur, le protocole HTTP est un moyen utilisé par l’explorateur pour diffuser de la vidéo depuis d’autres applications, mais aussi pour accéder aux fichiers du smartphone depuis un autre appareil (ordinateur, smartphone, tablette, etc.).

Mais comme vous l’avez sans doute compris, certaines conditions sont nécessaires pour rendre l’attaque possible. Es File Esplorer doit être installé sur le smartphone cible, et ce dernier doit être connecté sur le même réseau sans fil que l’assaillant. D’où, une fois encore, la vigilance toujours conseillée lorsque l’on se connecte sur un réseau WiFi public.

Réagissez à cet article !
Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !
Sécurité : Huawei subirait un million de cyberattaques par jour

D’après le chef de la sécurité de Huawei, l’entreprise repousserait une quantité impressionnante d’attaques informatiques. Des attaques à travers le monde entier, et des autorités américaines qui n’y seraient pas étrangères, selon l’entreprise. Si Huawei doit faire face à l’ire…

WhatsApp : un simple GIF permet de pirater votre smartphone

Une faille découverte dans l’application WhatsApp et qui affecte les smartphones Android permet d’accéder à vos photos privées et autres données personnelles. Il suffit d’un GIF modifié pour exploiter cette vulnérabilité qui vient d’être découverte par un chercheur en sécurité….

Une attaque DDoS rapporte 2,5 millions de dollars à Wikipédia

Vendredi dernier, le site encyclopédique Wikipédia était victime d’une conséquente attaque DDoS (Distributed Denial of Service). Pour limiter les dégâts d’une telle menace, la Wikimedia Foundation vient de recevoir une jolie somme de la part d’un généreux donateur pas si…