Un chercheur français a découvert un comportement problématique dans l’application ES File Explorer.

Gare à l’explorateur de fichiers que vous employez sur votre smartphone : il pourrait bien avoir un fonctionnement imprévu ou non documenté, au point de mettre en péril la confidentialité des données qui se trouvent sur l’appareil. C’est ce que vient de mettre en lumière le spécialiste en sécurité informatique Baptiste Robert dans une série de tweets publiée le 16 janvier.

ES File Explorer sur le banc des accusés

Un explorateur de fichiers est un utilitaire qui permet, comme son nom l’indique, de parcourir le contenu d’un terminal. Cela permet de voir les documents qui y sont présents et de les gérer à sa guise, en les déplaçant, les supprimant, les partageant, et ainsi de suite.

Le problème concerne l’application ES File Explorer, qui est disponible sur Android. Il s’agit d’un logiciel très répandu chez les particuliers, puisque l’outil revendique 300 millions de téléchargements et Google Play comptabilise plus de 100 millions d’installations. Ce n’est donc pas une banale application, comme il en existe des tas sur Google Play : c’est un poids lourd de la boutique.

Or, selon les constatations de Baptiste Robert, « si vous avez ouvert l’application au moins une fois, n’importe quel individu connecté au même réseau local peut obtenir à distance un fichier depuis votre téléphone ». Un risque improbable ? Bien au contraire ! Pensez aux points d’accès Wi-Fi qui peuplent les lieux publics : gares, aéroports, centres commerciaux, salles de cinéma, parcs…

Évidemment, l’attaque nécessite quelques conditions préalables pour réussir : il faut que la cible ait sur son smartphone l’application, qu’elle ait été lancée et qu’elle se trouve sur le point d’accès sans fil que l’assaillant. De fait, les chances pour s’en servir contre une personne précise sont minces. Elles augmentent néanmoins s’il s’agit de s’en prendre à n’importe qui utilisant ES File Explorer.

wifi-wi-fi-reseau-connexion-liaison-sans-fil

Ces symboles vous disent quelque chose ?

Source : Josh Zakary

D’autres brèches repérées

« En résumé, un attaquant connecté sur le même réseau local peut à distance obtenir un fichier depuis votre téléphone, lister toutes les applications installées sur votre téléphone ou encore inventorier toutes vos vidéos, images, fichiers audio », poursuit-il. Et le pire, c’est que cette conception bancale de l’application ES File Explorer n’est pas le seul souci qu’il a repéré : au moins trois autres problèmes sont recensés.

Le premier, identifié par un autre expert en sécurité informatique, Lukas Stefanko, porte sur une vulnérabilité locale permettant de réaliser une attaque de l’homme du milieu (MITM). « L’attaquant connecté au même réseau local peut intercepter le trafic HTTP », explique-t-il. Les deux autres, trouvées par Baptiste Robert, ne sont pour l’instant pas décrites par l’intéressé.

Concernant le problème initial, le chercheur explique qu’à chaque fois qu’un usager ouvre l’application ES File Explorer, un serveur web est exécuté. Celui-ci ouvre localement le port 59777 et, de là, un assaillant peut envoyer un ensemble d’instructions encapsulées dans du JSON, un format de données, pour obliger le terminal de la cible à faire telle ou telle chose.

Une preuve de concept

Pour illustrer sa découverte, Baptiste Robert a mis en ligne une vidéo montrant l’usage qui peut être fait de cette vulnérabilité. Il a également partagé sur GitHub une preuve de concept pour démontrer la faisabilité de l’attaque. Ce sont les versions 4.1.9.5.2 et en-dessous qui ont ce port ouvert, a-t-il confié à Techcrunch, qui a reproduit avec succès la manipulation.

Des explications pondérées ont évidemment été avancées pour expliquer ce design problématique, notent nos confrères : il pourrait s’agir d’un moyen pour diffuser de la vidéo vers d’autres applications, en utilisant le protocole HTTP, ou pour pouvoir gérer les fichiers du terminal depuis un ordinateur de bureau. Bien entendu, ces usages sont tout à fait légitimes.

Cependant, les découvertes du chercheur illustrent manifestement une sécurisation insuffisante de cet accès, afin de filtrer les accès légitimes des intrusions indésirables.


Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !