Publié le

Quand le plus téléchargé des explorateurs de fichiers donne accès à vos photos et vos fichiers

Très populaire, l’explorateur de fichier ES File Explorer sur Android est victime d’une faille de sécurité. Celle-ci permet à un pirate de récupérer n’importe quel fichier stocké sur votre smartphone.

Particulièrement populaire et téléchargé plus de 100 millions de fois sur le Google Play Store, l’explorateur de fichier ES File Explorer a connu une faille de sécurité majeure comme l’a relevé l’expert en sécurité informatique Baptiste Robert, connu sous le pseudonyme d’Elliot Alderson.

Dans un fil Twitter publié mercredi, le développeur, dont nous avions dressé le portrait il y a un peu plus d’un an, expliquait en effet qu’une faille d’ES File Explorer permettait à n’importe qui connecté sur le même réseau Wi-Fi de récupérer des fichiers stockés sur un smartphone avec File Explorer installé.

Une faille en cours de résolution

« Techniquement, chaque fois qu’un utilisateur lance l’application, un serveur HTTP est ouvert. Ce serveur ouvre localement le port 59777. Sur ce port, une personne mal intentionnée peut envoyer un paquet JSON sur la cible », explique Elliot Alderson. Ce paquet JSON, qui peut encapsuler différentes instructions, peut notamment servir à exfiltrer des fichiers stockés sur le smartphone de la victime, qu’il s’agisse de photographies, d’une liste des applications installées, de vidéos ou de votre carnet d’adresses.

Les développeurs de l’application ont finalement expliqué au site Android Police avoir corrigé la faille : « Nous avons réparé la vulnérabilité http et avons publié le correctif. Nous attendons désormais que Google valide la nouvelle version ». A l’heure de la publication de cet article, la nouvelle version n’est pas encore disponible sur le Google Play Store.

À lire sur FrAndroid : « Les gens ne doivent pas faire confiance aux constructeurs de téléphones », portrait d’un lanceur d’alerte

 

Twitter

Source: Frandroid

Publié le

Sécurité : une faille permet aux applications de connaître votre géolocalisation

Dans un billet publié sur son blog mercredi dernier, le cabinet en sécurité informatique Nightwatch Cybersecurity a dévoilé une faille majeure d’Android. Celle-ci permet aux applications d’avoir accès à la géolocalisation du smartphone, sans forcément que l’utilisateur leur en ait donné l’accès.

C’est une faille qui a été corrigée sur la dernière mise à jour d’Android, la version 9.0 Pie, mais qui concerne l’ensemble des versions précédentes du système d’exploitation de Google. Mercredi dernier, Nightwatch Cybersecurity, cabinet de recherche en sécurité informatique, a annoncé avoir découvert une faille qui permet aux applications de ne pas avoir à demander la permission afin d’accéder à la géolocalisation d’un appareil Android.

Connue sous le petit nom de CVE-2018-9489, cette faille permet en fait aux applications de connaître l’adresse MAC, le nom du réseau, le BSSID ainsi que l’adresse IP locale ou l’adresse du DNS utilisés par le smartphone. Concrètement, une application malicieuse installée sur le smartphone pourrait ainsi avoir accès à toutes ces informations de réseau et ainsi à la localisation de l’appareil. La faille de sécurité concerne en fait l’accès à des flux de données transitant entre le système Android et les applications installées, sans avoir nécessairement besoin des permissions requises pour accéder à la géolocalisation du smartphone ou à d’autres données : « Une application qui lit les données émises n’a pas besoin des permissions, autorisant ainsi ces informations à être capturées même sans que l’utilisateur ne le sache ».

Pas de patch de sécurité pour les versions d’Android antérieures à Pie

Nightwatch Cybersecurity précise que Google a corrigé cette faille d’Android depuis la version 9.0 Pie du système d’exploitation. Cependant, le cabinet précise que « l’éditeur ne prévoit pas de patcher les versions précédentes d’Android ».

Les utilisateurs sont ainsi « encouragés à mettre à jour leur appareil vers Android P/9 », si tant est que leur smartphone soit compatible. Pour l’heure, seuls les appareils de Pixel et Pixel 2 de Google et l’Essential Phone ont été mis à jour vers Android Pie.

À lire sur FrAndroid : Mise à jour Android 9.0 Pie : la liste des smartphones compatibles

Nighwatch Cybersecurity

Source: Frandroid