Sicherheitslücke in beliebtem Datei-Manager entdeckt

Manchem Android-Nutzer reicht die vorinstallierte App zur Verwaltung der Dateien auf dem Smartphone nicht aus. Der Play Store bietet eine Vielzahl von Alternativen. Einem französischen IT-Sicherheitsforscher ist nun aufgefallen, dass Fremde per WLAN auf das Handy zugreifen können, wenn die App "ES Datei Manager" installiert ist.

mobiles Internet Handy© zphoto83 / Fotolia.com
16.01.2019, 14:23 Uhr

Baptiste Robert, ist auf Twitter unter dem Namen Elliot Alderson unterwegs und deckt dort regelmäßig Sicherheitslücken auf. nun ist es ihm gelungen eine Funktion des "ES File Explorer File Manager" von der Firma ES Global auszunutzen, die eigentlich den Komfort für den Nutzer steigern soll. Die App bietet die Möglichkeit, mit anderen Geräten Dateien auszutauschen, solange sie sich im selben Netzwerk befinden.

Wahrscheinlich viele Millionen Nutzer angreifbar

So können zum Beispiel Fotos bequem zwischen zwei Handys oder dem Mobiltelefon und einem PC verschoben werden. Doch dafür startet die App immer wenn sie ausgeführt wird einen HTTP-Server, der einen lokalen Port öffnet. Robert hat ein Programm geschrieben, mit dem es ihm und den Kollegen von Techcrunch, denen er die Datei zur Verfügung gestellt hat, um seine Erkenntnisse zu bestätigen, gelungen ist, Bilder, Videos und andere Dateien von einem Smartphone und auch von einer eingelegten Speicherkarte herunterzuladen. Das Programm ermöglicht es sogar, eine App aus der Ferne zu starten. Zum Beweis hat Baptiste Robert ein Video davon gemacht:

Da sich für einen Angriff und das Ausspähen von Daten Opfer und Täter in demselben Netzwerk befinden müssen, mag die Gefahr in einem passwortgeschützten, heimischen WLAN-Netzwerk noch überschaubar sein. Doch wer sich an öffentlichen Wifi-Hotospots einwählt, läuft Gefahr, Opfer einer solchen Attacke zu werden, wenn laut Robert die App in der Version 4.1.9.5.2 oder niedriger installiert ist. Der Entwickler ES Global hat sich bisher nicht zu der Sicherheitslücke geäußert. Die chinesische Software-Firma hat laut eigenen Angaben weltweit über 500 Millionen Nutzer. Im Play Store findet sich nur der Hinweis, dass die App über 100 Millionen mal heruntergeladen wurde.