Vulnerabilidad sin parchear en Android ES File Explorer permite la filtración de información del dispositivo en redes locales

El investigador de seguridad Elliot Alderson ha descubierto una vulnerabilidad en el software de administración de archivos de Android ES File Explorer con más de 100 millones de descargas.

La vulnerabilidad ha sido confirmada en versiones de Android igual o inferiores a 4.1.9.7.4 y permite a través de peticiones HTTP al puerto 59777 ejecutar aplicaciones y leer archivos remotamente en red local. Este puerto TCP se abre una vez la aplicación es iniciada y permanece abierto aunque la aplicación se cierre.

Elliot Alderson ha publicado a través de su GitHub un ‘script’ como prueba de concepto con las siguientes capacidades:

listFiles: List all the files
listPics: List all the pictures
listVideos: List all the videos
listAudios: List all the audio files
listApps: List all the apps installed
listAppsSystem: List all the system apps
listAppsPhone: List all the phone apps
listAppsSdcard: List all the apk files in the sdcard
listAppsAll: List all the apps installed (system apps included)
getDeviceInfo: Get device info. Package name parameter is needed
appPull: Pull an app from the device
appLaunch: Launch an app. Package name parameter is needed
getAppThumbnail: Get the icon of an app. Package name parameter is needed

Por otro lado, el mitre le ha asignado el CVE CVE-2019-6447 y permanece a la espera de recibir una actualización por parte del fabricante.