Vulnérabilité Android

Cela fait des années que des experts en sécurité informatique mettent en garde contre les risques sur la vie privée et la sécurité des téléphones mobiles.

Le chercheur français connu sous le pseudo @fs0c131y (Elliot Alderson), vient de révéler, dans une série de tweets publiée mercredi 16 janvier, que l’explorateur de fichiers ES File Explorer, sur Android, présenté une vulnérabilité de type « Open Port ».

Selon le chercheur, l’exploitation de cette vulnérabilité pourrait se faire apres chaque lancement de l’explorateur, car un processus écoute sur un port réseau et accepte des requêtes HTTP, tout comme un serveur web, et peut donner accès aux différents fichiers ainsi qu’à leur listing à l’émetteur de la requête.

Cette vulnérabilité est exploitable sans que le propriétaire du téléphone ait accorde de permission Android particulière et sans que l’attaquant ait besoin de s’authentifier. Le seul prérequis est que le téléphone avec l’application vulnérable installée et l’attaquant soient dans le même réseau local, par exemple, en utilisant le réseau wifi, mais pas en utilisant le réseau cellulaire GSM (3G, 4G…).

Ce même chercheur a dit avoir trouvé deux autres vulnérabilités sur la même application, qu’il va publier dans les jours qui suivent.

Le numéro CVE-2019-6447 a été attribué à la vulnérabilité.