Android: Finger weg vom ES File Explorer

Kleine Info für Android-Nutzer. Falls ihr die ES File Explorer-App installiert habt, solltet ihr darüber nachdenken, diese zu deinstallieren. Die App führt einen Web-Server im Hintergrund aus, der das Abgreifen von Daten ermöglicht. Durch den ES File Explorer sind die Daten von 100 Millionen Nutzern gefährdet.


Anzeige

Der ES File Explorer

Der ES File Explorer ist eine recht populäre Android-App, die mehr als 100 Millionen Mal aus dem Google Play Store heruntergeladen wurde. Die App gibt es als kostenlose und kostenpflichtige Variante.

ES File Explorer

Der ES Datei Explorer (Dateimanager) ist ein kostloser und voll funktionsfähiger Datei- (Anwendungen, Dokumente und Multimedia) Manager für lokale Nutzung und Netzwerk-Nutzung. Laut Aussage des Entwicklers im Google Play Store ist es der leistungsstärkste Android-Dateimanager für diese Plattform und soll über 300 Million Anwender weltweit haben. Details zu den Funktionen sind in der App-Beschreibung im Google Play Store zu finden.

Ich habe den ES Datei Explorer früher, zu Zeiten von Android 1.6 bis 4.4.x ganz gerne eingesetzt – u.a. weil man per WiFi auf die Dateien des Android-Geräts zugreifen konnte. Irgendwann gab es dann aber ein App-Update, in dessen Folge die App erinnerungsmäßig extrem viele Rechte zum Zugriff auf Ressourcen anforderte. Da die App sich eh in eine Richtung entwickelte, die mir nicht behagte (chinesische Entwickler), habe ich sie damals von allen meinen Android-Geräten gelöscht. War wohl der richtige Schritt. Inzwischen hat die App auch sehr viele Ein-Sterne-Bewertungen im Play Store kassiert.

Schwachstelle im ES File Explorer

Die ES File Explorer reißt eine Sicherheitslücke auf Android-Geräten auf. Sobald die App einmalig geöffnet wird, startet diese einen versteckten Web-Server im Hintergrund. Über diesen Web-Server kann jeder Teilnehmer im gleichen Netzwerk remote auf die Dateien des Android-Geräts zugreifen. Sicherheitsforscher Elliot Alderson weist in diesem Tweet auf diesen Sachverhalt hin.

Das Ganze ist inzwischen als CVE-2019-6447 dokumentiert. Die Android App ES File Explorer File Manager Version 4.1.9.7.4 ermöglicht es entfernten Angreifern, beliebige Dateien zu lesen oder Anwendungen über den TCP-Port 59777 Anfragen im lokalen Wi-Fi-Netzwerk auszuführen. Dieser TCP-Port bleibt nach dem einmaligen Start der ES-Anwendung offen und reagiert auf nicht authentifizierte Anwendungs-/Json-Daten über HTTP.

Unschön: Der Zugriff auf Dateien ist möglich, auch wenn der Benutzer der App keine Berechtigungen auf dem Android-Gerät erteilt hat. So ist es einfach, die Schwachstelle auszunutzen. Aber dies ist nicht die einzige Schwachstelle – Elliot Alderson hat weitere (unveröffentlichte) Schwachstellen in der ES File Explorer App gefunden. Einige weitere Gedanken hat Alderson hier auf Twitter veröffentlicht.


Werbung

Der obige Tweet stützt so gewisse Eindrücke, die ich über die Jahre von chinesischen Apps gewonnen habe (und die ich inzwischen meide). Bisher hat sich der chinesische Entwickler ES Global nicht wirklich dazu geäußert, ob und wann die Fehler behoben werden. Es gibt lediglich einen Tweet, dass eine Schwachstelle behoben sei. Bleeping Computer hat diesen Artikel veröffentlicht, wo man weitere Details nachlesen kann.


Anzeige
Dieser Beitrag wurde unter Android, App, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

7 Responses to Android: Finger weg vom ES File Explorer

  1. Tobi sagt:

    Die Open-Source-Alternative Ghost Commander tut auch seine Arbeit. Gibt es z.B. im Store von F-Droid.

  2. Horst sagt:

    Im bin seinerzeit zu X-plore https://play.google.com/store/apps/details?id=com.lonelycatgames.Xplore gewechselt.
    Bietet reichlich Möglichkeiten mit der 2-Fenster-Technik.

  3. Werbung

  4. Lukas Sagl sagt:

    Also ich benutze, wie auch am PC, TotalCommander.

    Der ES ist viel zu aufgeblasen.

  5. Frizz sagt:

    Trifft es genau
    “Irgendwann gab es dann aber ein App-Update, in dessen Folge die App erinnerungsmäßig extrem viele Rechte zum Zugriff auf Ressourcen anforderte. Da die App sich eh in eine Richtung entwickelte, die mir nicht behagte”, ebenso die Berechtigungen und der Anbieter.
    Ghost Commander habe ich auch rausgeschmissen, nachdem ich eine Sammelwut von bis über 500MB feststellte.
    ES und Ghost waren auf einigen Geräten vorinstalliert und konnten auch nicht vereinfacht deinstalliert werden.
    Ich benutze wie auch seit Jahren den Total-Commander von Herrn Ghisler, der diesen für Android auch kostenlos zur Verfügung stellt. Ebenfalls mit WiFi-Modul!
    Seeeehr zu empfehlen!

  6. Malte sagt:

    Boa ey, bin ich happy das mir da gar nichts passieren kann, denn ich habe kein Handy und kein Smartphone :D

    Aber ich werde gleich mal einige Leute veranlassen den Müll von den Geräten zu löschen.

    • deoroller sagt:

      Wenn der Müll vorinstalliert ist, kriegt man ihn vielleicht gar nicht deinstalliert. Deaktiveren sollte man ihn dann zumindest können.
      Der Mediaplayer von ES Explorer geht dann natürlich nicht mehr.

  7. Ingenieurs sagt:

    Bin mit dem Dateimanager++ sehr zufrieden

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.