ES Explorer es una de las aplicaciones más populares de Android, en gran medida porque numerosos fabricantes lo introducen de serie en sus teléfonos para compensar la ausencia de un buen administrador de archivos nativo. El investigador de seguridad francés conocido como Elliot Alderson (nombre real Baptiste Robert y descubridor de la puerta trasera del OnePlus 6) explica que hay una importante vulnerabilidad gracias a la cual es posible extraer información contenida en un móvil conectado a una red local.




 El investigador de seguridad francés Elliot Alderson ha descubierto una vulnerabilidad en el software de administración de archivos de Android ES File Explorer con más de 100 millones de descargas, concretamente según sus  creadores "más de 300 millones de ususarios a nivel mundial".

ES Explorer ejecuta un servidor HTTP que puede ser explotado para lanzar diversos ataques en una red local. Usando un script bastante sencillo, el investigador ha demostrado la la facilidad con la que se pueden extraer fotos, vídeos y nombres de aplicaciones, así como datos contenidos en las tarjetas de memoria. Por si esto no fuera suficiente, también es posible ejecutar aplicaciones de forma remota.

El fallo debe ser explotado en una red local, lo que en cierto modo limita los riesgos para el usuario común (aunque aquellos que se conecten a redes públicas harían muy bien en protegerse)


La vulnerabilidad ha sido confirmada en versiones de Android igual o inferiores a 4.1.9.7.4 y permite a través de peticiones HTTP al puerto 59777 ejecutar aplicaciones y leer archivos remotamente en red local. Este puerto TCP se abre una vez la aplicación es iniciada y permanece abierto aunque la aplicación se cierre.



Elliot Alderson ha publicado a través de su GitHub un ‘script’ como prueba de concepto con las  siguientes capacidades:

listFiles: List all the files
listPics: List all the pictures
listVideos: List all the videos
listAudios: List all the audio files
listApps: List all the apps installed
listAppsSystem: List all the system apps
listAppsPhone: List all the phone apps
listAppsSdcard: List all the apk files in the sdcard
listAppsAll: List all the apps installed (system apps included)
getDeviceInfo: Get device info. Package name parameter is needed
appPull: Pull an app from the device
appLaunch: Launch an app. Package name parameter is needed
getAppThumbnail: Get the icon of an app. Package name parameter is needed

Por otro lado, el mitre le ha asignado el CVE CVE-2019-6447 y permanece a la espera de recibir una actualización por parte del fabricante.


Fuentes:
https://unaaldia.hispasec.com/2019/01/vulnerabilidad-sin-parchear-en-android-es-file-explorer-permite-la-filtracion-de-informacion-del-dispositivo-en-redes-locales.html
https://www.elotrolado.net/noticia_la-aplicacion-es-explorer-deja-al-descubierto-los-datos-del-usuario-incluyendo-imagenes-y-videos_39209