ファイルマネージャーアプリES File ExplorerはAndroid機のデータを外部に露出する

とても多くのユーザーが使っているAndroidの人気アプリが、なぜバックグラウンドで秘かにWebサーバーを動かしているのだろうか?

そのES File Explorerは、2014年以来5億以上ダウンロードされた、と豪語している。これまででいちばん多く使われたアプリのひとつだ。シンプルなので、誰にも好かれた。それは単純なファイルエクスプローラーであり、ユーザーは自分のAndroidスマートフォンやタブレットのファイルシステムを調べて、ファイルやデータやドキュメントなどにアクセスできる。

しかしこのアプリは、楽屋裏で機能最小限のWebサーバーを、そのデバイスの上で動かしている。それによってAndroidデバイスの全体をオープンにしてしまい、データ窃盗などの攻撃の、為すがままになる。

フランスのセキュリティ研究家Baptiste Robert、ハンドル名Elliot Aldersonが先週、外部に露呈しているポートを見つけ、その発見を水曜日(米国時間1/16)にツイートで発表した。ツイートする前に彼は、本誌TechCrunchに、露呈しているポートを使ってデバイスからデータを盗み取れることを、デモしてくれた。

“そのローカルネットワークのすべてのデバイスが、データをそのデバイスにインストールされてしまう”、と彼は言った。

彼が書いた簡単なスクリプトで、同じネットワーク上の別のデバイスから、画像やビデオやアプリの名前、そしてメモリカード上のファイルさえ引っ張り出せることを、彼はデモした。被害者のデバイス上でアプリをリモートで立ち上げることすらできる。

彼はそのスクリプトを、テスト用に本誌TechCrunchに送ってきた。要らないAndroidスマートフォンを使って、彼が見たということを確認した。Robertによるとアプリのバージョンは4.1.9.5.2で、それより前のものにオープンなポートがある。

彼曰く: “いいことではないね”。

ES File Explorerが動いているAndroidデバイスと同じネットワーク上のデータを取得するスクリプトをセキュリティ研究者が作った(画像は提供されたもの…この記事の筆者はスクリプトを実際に動かしていない)。

ES File Explorerのメーカーにコンタクトしたが、まだ返事はない。何か来たら、この記事をアップデートしよう。

これはインターネット上の悪人が一般的に悪用できる欠陥ではないから、やられる心配は少ない。悪事を働こうとする奴は、被害者と同じネットワークにいなければならない。つまり、同じWi-Fiネットワーク、ということだ。でも万一そいつがネットワークのパーミッションを持っていたら、こんな出来損ないのアプリを悪用してデータを盗むことができる。だから安心はできない。

それは、HTTPプロトコルを使ってビデオを他のアプリにストリーミングするために使われる、という合理的な説明もある。しかし一方、露出したポートという問題を過去に経験したことのある人は、それは危ない、と言う。そのアプリは、こんなことも言っている: “この機能を有効にすれば、これによってあなたのスマートフォン上のファイルをあなたのコンピューターから管理できる”。…しかし‘あなたのコンピューターから’とは限らない。

そして、アプリを開いた途端にそれらのファイルは、そのWebサーバーが通信のために開いたポートによって外部へ露呈するのだ。そのことが、分からない人が多いだろう。

関連記事: サイバーセキュリティ強化のためにチェックすべきトップ5

画像クレジット: TechCrunch

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。