Android: Finger weg vom ES File Explorer

Kleine Info für Android-Nutzer. Falls ihr die ES File Explorer-App installiert habt, solltet ihr darüber nachdenken, diese zu deinstallieren. Die App führt einen Web-Server im Hintergrund aus, der das Abgreifen von Daten ermöglicht. Durch den ES File Explorer sind die Daten von 100 Millionen Nutzern gefährdet.


Anzeige

Der ES File Explorer

Der ES File Explorer ist eine recht populäre Android-App, die mehr als 100 Millionen Mal aus dem Google Play Store heruntergeladen wurde. Die App gibt es als kostenlose und kostenpflichtige Variante.

ES File Explorer

Der ES Datei Explorer (Dateimanager) ist ein kostloser und voll funktionsfähiger Datei- (Anwendungen, Dokumente und Multimedia) Manager für lokale Nutzung und Netzwerk-Nutzung. Laut Aussage des Entwicklers im Google Play Store ist es der leistungsstärkste Android-Dateimanager für diese Plattform und soll über 300 Million Anwender weltweit haben. Details zu den Funktionen sind in der App-Beschreibung im Google Play Store zu finden.

Ich habe den ES Datei Explorer früher, zu Zeiten von Android 1.6 bis 4.4.x ganz gerne eingesetzt – u.a. weil man per WiFi auf die Dateien des Android-Geräts zugreifen konnte. Irgendwann gab es dann aber ein App-Update, in dessen Folge die App erinnerungsmäßig extrem viele Rechte zum Zugriff auf Ressourcen anforderte. Da die App sich eh in eine Richtung entwickelte, die mir nicht behagte (chinesische Entwickler), habe ich sie damals von allen meinen Android-Geräten gelöscht. War wohl der richtige Schritt. Inzwischen hat die App auch sehr viele Ein-Sterne-Bewertungen im Play Store kassiert.

Schwachstelle im ES File Explorer

Die ES File Explorer reißt eine Sicherheitslücke auf Android-Geräten auf. Sobald die App einmalig geöffnet wird, startet diese einen versteckten Web-Server im Hintergrund. Über diesen Web-Server kann jeder Teilnehmer im gleichen Netzwerk remote auf die Dateien des Android-Geräts zugreifen. Sicherheitsforscher Elliot Alderson weist in diesem Tweet auf diesen Sachverhalt hin.

Das Ganze ist inzwischen als CVE-2019-6447 dokumentiert. Die Android App ES File Explorer File Manager Version 4.1.9.7.4 ermöglicht es entfernten Angreifern, beliebige Dateien zu lesen oder Anwendungen über den TCP-Port 59777 Anfragen im lokalen Wi-Fi-Netzwerk auszuführen. Dieser TCP-Port bleibt nach dem einmaligen Start der ES-Anwendung offen und reagiert auf nicht authentifizierte Anwendungs-/Json-Daten über HTTP.

Unschön: Der Zugriff auf Dateien ist möglich, auch wenn der Benutzer der App keine Berechtigungen auf dem Android-Gerät erteilt hat. So ist es einfach, die Schwachstelle auszunutzen. Aber dies ist nicht die einzige Schwachstelle – Elliot Alderson hat weitere (unveröffentlichte) Schwachstellen in der ES File Explorer App gefunden. Einige weitere Gedanken hat Alderson hier auf Twitter veröffentlicht.


Anzeige

Der obige Tweet stützt so gewisse Eindrücke, die ich über die Jahre von chinesischen Apps gewonnen habe (und die ich inzwischen meide). Bisher hat sich der chinesische Entwickler ES Global nicht wirklich dazu geäußert, ob und wann die Fehler behoben werden. Es gibt lediglich einen Tweet, dass eine Schwachstelle behoben sei. Bleeping Computer hat diesen Artikel veröffentlicht, wo man weitere Details nachlesen kann.


Anzeige
Dieser Beitrag wurde unter Android, App, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

11 Antworten zu Android: Finger weg vom ES File Explorer


  1. Anzeige
  2. Tobi sagt:

    Die Open-Source-Alternative Ghost Commander tut auch seine Arbeit. Gibt es z.B. im Store von F-Droid.

  3. Horst sagt:

    Im bin seinerzeit zu X-plore https://play.google.com/store/apps/details?id=com.lonelycatgames.Xplore gewechselt.
    Bietet reichlich Möglichkeiten mit der 2-Fenster-Technik.

  4. Anzeige

  5. Lukas Sagl sagt:

    Also ich benutze, wie auch am PC, TotalCommander.

    Der ES ist viel zu aufgeblasen.

  6. Frizz sagt:

    Trifft es genau
    “Irgendwann gab es dann aber ein App-Update, in dessen Folge die App erinnerungsmäßig extrem viele Rechte zum Zugriff auf Ressourcen anforderte. Da die App sich eh in eine Richtung entwickelte, die mir nicht behagte”, ebenso die Berechtigungen und der Anbieter.
    Ghost Commander habe ich auch rausgeschmissen, nachdem ich eine Sammelwut von bis über 500MB feststellte.
    ES und Ghost waren auf einigen Geräten vorinstalliert und konnten auch nicht vereinfacht deinstalliert werden.
    Ich benutze wie auch seit Jahren den Total-Commander von Herrn Ghisler, der diesen für Android auch kostenlos zur Verfügung stellt. Ebenfalls mit WiFi-Modul!
    Seeeehr zu empfehlen!

  7. Malte sagt:

    Boa ey, bin ich happy das mir da gar nichts passieren kann, denn ich habe kein Handy und kein Smartphone :D

    Aber ich werde gleich mal einige Leute veranlassen den Müll von den Geräten zu löschen.

    • deoroller sagt:

      Wenn der Müll vorinstalliert ist, kriegt man ihn vielleicht gar nicht deinstalliert. Deaktiveren sollte man ihn dann zumindest können.
      Der Mediaplayer von ES Explorer geht dann natürlich nicht mehr.

  8. Ingenieurs sagt:

    Bin mit dem Dateimanager++ sehr zufrieden

  9. Anzeige

  10. Sebastian sagt:

    In ein paar Tagen redet darüber keiner mehr,wer schon google auf seinem Handy hat,macht da den Braten auch nicht fett

  11. Günter Born sagt:

    Der ES Datei Explorer Pro ist wohl Ende April aus dem Store geworfen worden.

    https://stadt-bremerhaven.de/es-datei-explorer-fliegt-auf-dem-google-play-store/

  12. Christopher sagt:

    Wer sich in irgendwelche WiFis ohne nachzudenken einklinkt und Standardeinstellungen übernimmt ohne sie zu prüfen öffnet dem interessierten Dritten potentiell sowieso Tür und Tor. Zu PC-Zeiten waren die meisten Anwender irgendwann ausreichend sensibilisiert – in Smartphone-Zeiten setzt sich wieder die Dummheit der Masse durch. Leider wird dieses nun auch noch durch ein immer mehr um sich greifendes “Wir müssen die Anwender schützen” Syndrom gefördert. Der gemeine Anwender wird überhaupt nicht mehr genötigt sich mit dem auseinander zu setzen, was er da betreibt!

    Ich bin mit dem ES Datei Explorer jedenfalls sehr zufrieden, habe wie auch auf dem PC eine Firewall auf dem Handy, überlege mir in welche WiFis ich mich einklinke und wenn ein Anbieter Klick-Betrug begeht (denn das war ja wohl eher der Grund dafür, dass die Produkte des Anbieters aus dem Play Store geflogen sind!), dann ist das zwar unschön, aber letztlich nicht mein persönliches Problem.

    Wen es interessiert – hier der Hntergrund: https://www.heise.de/newsticker/meldung/Werbebetrug-Google-wirft-Hersteller-aus-App-Store-4409289.html

  13. Eve sagt:

    Oh mein Gott wie paranoid ist das denn… meine Herrn. Ja dann muss ich ja alle Freude, die ich bei mir zu Hause hab erstmal als Hacker ausschließen… Alles Feinde oder was? Ach so oder ich geb ihnen eben nicht den Schlüssel zum lokalen Netzwerk… ganz einfach, Hacker ausgesperrt. Mein Gott. DAtenschutz ist doch eh nur ein Wort um die Vision von Sicherheit vorzutäuschen. Sobald man eine EC Karte, PC mit Internet oder ein Handy hat isses eh vorbei. Ich glaube den ganzen Quatsch von “voll verschlüsselt und Privatsphäre” eh nicht. Die können alles sehen, lesen und hören, wenn sie wollen. Wir haben einen Google Home und 3 Alexas zu Hause und ich hoffe sie höre mir zu! Da können die noch was lernen!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.