「ES ファイルエクスプローラ」で動画視聴中に外部からSDカードの内容を閲覧できてしまう脆弱性が修正

ES多機能ファイルマネージャ「ES ファイルエクスプローラ」の機能の一つに、LANの共有フォルダやオンラインストレージのファイルを外部動画プレイヤーで再生できる機能がある。
この機能は、ES ファイルエクスプローラ内でWebサーバを実行して、そのURLを動画プレイヤーに渡してアクセスさせることで実現されているのだが、このサーバ機能に脆弱性があるとの指摘が挙がっていた。
本来は端末上の動画プレイヤーから動画ファイルにだけアクセスできるだけでいいはずが、別のコンピュータからもアクセスできるようになっており、SDカード上の他のファイルも自由に読み込めるようになってしまっていたのだ。グローバルIPアドレスの枯渇により減りつつあるとは言え、端末上で実行されているサーバにインターネット経由でアクセスできるタイプのデータ通信サービスもまだ存在するため、不正アクセスに悪用されるのではないかと心配する声があった。
昨日公開された1.6.1.2では、この脆弱性は修正されている。ほかの新機能は、検索機能でシステムフォルダ内を検索できるようになったくらいだが、新機能に興味がなくてもバージョンアップを行っておこう。

esfileexplorervulnerability_001ES ファイルエクスプローラでLAN上の共有フォルダにアクセスし、動画ファイルをタップすると、動画再生に対応したアプリの選択画面が表示される。HTTPサーバで中継されるため、ブラウザであるOpera Mobileも表示されている。

esfileexplorervulnerability_002動画の視聴中に同じLANに接続されているパソコンから、端末のIPアドレスの特定のポート番号にアクセスしたところ、SDカード上のファイルの一覧が表示された。

esfileexplorervulnerability_003ファイルへのリンクをクリックすれば、表示やダウンロードもできてしまった。動画鑑賞に使われるような端末には盗まれて困るようなデータが入っていることは少なそうだが、重要なデータの入ったパソコンでファイル共有ソフトを使って情報を漏洩させてしまう人も実際にいるので、問題ないとは言い切れない。

esfileexplorervulnerability_004最新版のES ファイルエクスプローラで試したところ、動画を再生中にパソコンからアクセスしても接続は拒否された。

ES ファイルエクスプローラ
「ESファイルエクスプローラ」と「MoboPlayer」でLAN上の動画ファイルを直接再生

関連記事

2012年02月28日00時18分 公開 | カテゴリー: セキュリティ | キーワード:, | Short URL
このエントリーをはてなブックマークに追加

最新記事