ES File Explorer : comment une faille dans l’application permet d’accéder à toutes vos données

Certains l’apprécient et d’autres non. ES File Explorer reste néanmoins l’un des explorateurs de fichiers les plus populaires sur smartphone. Un chercheur en sécurité Français vient d’y déceler une faille critique qui permet à une personne tierce d’accéder à toutes vos données personnelles.

Es explorer

Android regorge d’explorateurs de fichiers pour gérer de manière ergonomique les données présentes sur votre smartphone. Es File Explorer est loin d’être un inconnu au bataillon pour être l’une des applications les plus anciennes dans ce domaine, et logiquement l’une des plus téléchargées à ce jour : plus 100 millions de téléchargements sur le Google Play Store. Si vous l’utilisez, vous avez été exposé longtemps à une faille critique.

Comment ES File Explorer permet à des personnes tierces d’accéder à vos fichiers personnels

Baptiste Robert , un expert Français en sécurité informatique qui se fait également appeler par son pseudonyme Elliot Alderson a publié plusieurs tweets cette semaine dans lesquels parle d’une faille identifiée dans le célèbre gestionnaire de fichiers. La vulnérabilité permet à n’importe quelle personne connectée au même réseau que sa cible d’accéder aux contenus de son smartphone : photos, vidéos, documents personnels, applications, etc. Une faille qui ne redore pas le blason de Es File Explorer qui est souvent critiqué pour la lourdeur de ses publicités, mais aussi des bloatwares intégrés.

À l’aide d’un simple script, le chercheur a montré comment il pouvait non seulement accéder aux fichiers, mais aussi les récupérer sur un autre appareil connecté au même réseau local. Il est également possible de lancer une application à distance sur le smartphone de la victime.

Le spécialiste explique que lorsque le gestionnaire Es File Explorer est lancé une fois, il se connecte à un serveur HTTP sur le port 59777. Cela laisse un trou béant qui permet à un utilisateur tiers disposant de suffisamment de connaissances techniques d’exploiter la faille pour accéder à aux données personnelles de sa cible.

Selon le site Techcrunch qui a été le premier contacté par le chercheur, le protocole HTTP est un moyen utilisé par l’explorateur pour diffuser de la vidéo depuis d’autres applications, mais aussi pour accéder aux fichiers du smartphone depuis un autre appareil (ordinateur, smartphone, tablette, etc.).

Mais comme vous l’avez sans doute compris, certaines conditions sont nécessaires pour rendre l’attaque possible. Es File Esplorer doit être installé sur le smartphone cible, et ce dernier doit être connecté sur le même réseau sans fil que l’assaillant. D’où, une fois encore, la vigilance toujours conseillée lorsque l’on se connecte sur un réseau WiFi public.

Réagissez à cet article !
Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !
Gare au SMS qui vide votre compte bancaire !

Un SMS frauduleux envoyé par des pirates peut vider votre compte bancaire. Une cliente en a fait les frais en voyant son compte débité de la somme de 6 000 euros. Cette opération, elle affirme ne l’avoir jamais faite. Le…

Voici le top 10 des pires mots de passe

Le top 10 des mots de passe les plus vulnérables au piratage a été dressé par une étude britannique. Pour mettre sur pied cette liste, le National cyber security centre (NCSC) s’est intéressé aux 100 000 mots de passe les plus…

Internet Explorer : Microsoft refuse de corriger une faille de sécurité critique

Internet Explorer est victime d’une nouvelle faille de sécurité critique, rapporte un chercheur en cybersécurité. Malgré les risques encourus par les utilisateurs, Microsoft refuse de proposer un correctif dans les plus brefs délais. Pour forcer la main de la firme, le chercheur a révélé l’existence de…

Téléchargez GHIDRA et prenez vous pour un espion de la NSA

Le logiciel GHIDRA utilisé par la NSA pour repérer et contrer des programmes malveillants est désormais disponible gratuitement pour tous. Open-source, il peut même être amélioré par la communauté.  Comme promis, la National Security Agency (NSA) des États-Unis a rendu…