Tags:
Node Thumbnail

จากข่าว แจ้งเตือน ES File Explorer เปิดเว็บเซิร์ฟเวอร์บนแอนดรอยด์, คนร้ายเข้าควบคุมเครื่องได้ ล่าสุดทางบริษัท ES Global เจ้าของแอพ ES File Explorer ได้ปล่อยแอพเวอร์ชันอัพเดตที่แก้บั๊กนี้แล้ว (เวอร์ชัน 4.1.9.9 อัพเดตวันที่ 18 มกราคม 2019)

รายละเอียดใน changelog มีสั้นๆ เพียงแค่บอกว่า "Fix http vulnerability in LAN" ส่วนเว็บไซต์ Android Police สอบถามไปยังนักพัฒนาเพิ่มเติม และได้ข้อมูลเพิ่มขึ้น (อีกหน่อย) ว่า "The issue of unauthorized copying of files has been fixed by removing the corresponding code. The way a man-in-the-middle attack is avoided by the way the server upgrades."

Elliot Alderson นักวิจัยความปลอดภัยที่ค้นพบช่องโหว่นี้ ได้รีทวีตข้อความข่าวอัพเดต ES File Explorer แต่ไม่ได้ให้ความเห็นอะไรเพิ่มเติม

ที่มา - Android Police

No Description

No Description

No Description

Get latest news from Blognone

Comments

By: gosol
AndroidWindows
on 19 January 2019 - 14:01 #1092725
gosol's picture

ทางฝั่งผู้ใช้ก็ได้ยกเลิกการติดตั้งเป็นที่เรียบร้อยแล้วเหมือนกัน เวอร์ชั่นใหม่มีอะไรที่ไม่จำเป็นเยอะแยะหันไปใช้ Files ของ Google แทน

By: soullz
AndroidUbuntu
on 19 January 2019 - 14:17 #1092727

หลังจากที่ลบ ES File Explorer แล้วใช้ตัวอื่น ผลคือ อารมเหมือนตอนใช้ ES ใหม่ๆ ตอนยังไม่มี อะไรๆ รกๆ ขนาดนี้

By: A4
iPhoneAndroidRed HatSUSE
on 19 January 2019 - 15:00 #1092733
A4's picture

ใช้อะไรแทนดีครับ
แบบที่สามารถตั้งรหัสผ่านโฟลเดอร์ได้ด้วย

By: soullz
AndroidUbuntu
on 19 January 2019 - 16:09 #1092744 Reply to:1092733

ตอนนี้หันมาใช้ Cx File Explorer คับ แต่ไม่รู้ว่ามี ฟีเจอร์ lock pass มั๊ยอะคับ พึ่งเปลี่ยนมาใช้เนี่ยแหละครับ

By: terdsak.s on 19 January 2019 - 20:15 #1092776 Reply to:1092733

Asus File Manager
ตั้งแต่ใช้ ผมนี่ยาวเลย

By: terap
Windows PhoneAndroidRed HatUbuntu
on 20 January 2019 - 13:43 #1092810 Reply to:1092733
terap's picture

Solid Explorer ครับ

By: varval on 19 January 2019 - 15:50 #1092741
varval's picture

เลิกใช้นานแล้ว รกเกิน

By: tekkasit
ContributorAndroidWindowsIn Love
on 19 January 2019 - 16:02 #1092743
tekkasit's picture

ปัญหาคือไอ้ server ตัวนั้นมันไปอยู่ตรงนั้นได้ไง

By: McKay
ContributorAndroidWindowsIn Love
on 20 January 2019 - 01:15 #1092780 Reply to:1092743
McKay's picture

ตามปกติถ้าไม่มี vulnerability ตัวมันเองใช้เป็น network file forwarder ให้ external app, Chromecast ครับ

ยกตัวอย่างเช่นลองเพิ่ม SMB ซักตัว แล้วเปิดไฟล์วิดีโอในนั้นด้วย MX Player แล้วเข้าไปดู properties จะพบว่า path ของไฟล์ที่ MX Player เล่นคือ http://127.0.0.1:59777/smb%2F..........mp4|.mkv ครับ

เทคนิคนี้ใช้กันทั่วไปในแอพจำพวก explorer ครับ ยกตัวอย่างเช่น Solid Explorer เองก็สร้าง HTTP port 57871 หรือ FX File Explorer ก็สร้างที่ port 41719 ครับ


In Soviet Warcraft, Argus comes to you.

By: lew
FounderJusci's WriterMEconomicsAndroid
on 20 January 2019 - 23:19 #1092847 Reply to:1092780
lew's picture

ซึ่งควรเปิดแชร์เฉพาะไฟล์นั้นๆ และอาจจะแชร์ล็อกไอพีปลายทาง

เคสนี้คือเปิดกว้างให้ทุกคนในเน็ตเวิร์ค แถมเข้าถึงได้ทุกไฟล์นี่ก็ไม่ไหวครับ สะเพร่าเกิน


lewcpe.com, @public_lewcpe

By: myungz
In Love
on 20 January 2019 - 09:25 #1092796
myungz's picture

เวอร์ชั่นฟรี มี service อะไรไม่รู้รกมาก
แต่แบบ Pro ที่รกๆนั้นหายไป

By: pd2002 on 20 January 2019 - 15:16 #1092813 Reply to:1092796

เพราะมันรก ผมซื้อ pro เลย

By: illuminator
ContributorAndroidUbuntuWindows
on 20 January 2019 - 17:38 #1092818
illuminator's picture

(ในภาพข่าว) ระหว่าง 3. กับ Fix http vulnerability in LAN ก็ยังขาดการเว้นช่องว่างไม่เหมือนกับข้ออื่น เหมือนไม่อยากเขียน ไม่อยากใส่ใจ ใส่ๆไว้ให้มันมี 555


The softest water wears down the hardest rock.

By: mkcd_toy
AndroidRed HatUbuntu
on 21 January 2019 - 07:55 #1092870
mkcd_toy's picture

รุ่น Pro ยังไม่เห็นมีอัปเดทเลย