Androidアプリ「ES File Explorer」がバックグラウンドでHTTPサーバーを立ち上げていたことが見つかる 70
ストーリー by hylom
どっちにしろ信用はできなさそうな 部門より
どっちにしろ信用はできなさそうな 部門より
maia曰く、
ダウンロード件数が数億とも言われるAndroid向け人気ファイルマネージャー「ES File Explorer」が、バックグラウンドでWebサーバーを実行させているとの指摘が出ている。これによって外部から端末内のさまざまなデータにアクセスできるようになっていたという(TechCrunch)。
「ES File Explorer」の噂をチェックしてみると、以前にも「巷で危険なアプリだと騒がれて」いたらしいが、開発会社のES(EStrongs)は2013年1月に百度(Baidu)に買収されており(黒翼猫のコンピュータ日記2nd Edition)、その後BaiduのSDKを使っているようだ。
9to5GoogleやAndroid Policeによると、起動時に59777番ポートでの待ち受けを行い、ここにJSON形式で指定した命令をHTTPで送信することで、端末内のファイルを読み取ったり、端末の情報を取得できるようになっていたという。このアプリではファイル共有機能を新機能として実装していたようで、これに関する問題のようだ。開発者はこれに対し、問題を修正したバージョンをリリースするとしているという。
広告地獄 (スコア:5, 参考になる)
以前からメインスマホにはES File Explorer は入れっぱなしにしてたのですが、
一年ぐらい?前から、アプリ使用中に頻繁に広告ポップアップが出るように。
Webブラウザ使用中が多いので最初はうざいページ内広告かと思ってたのですが、
ブラウザ以外でも出るので、インストール済アプリが悪さしていると判断、
いろいろ試行錯誤した結果、ESをアンインストールしたら出なくなりました。
あとは「機能制限解除するためには○○のアプリをインストールしろ」ってなる(○○はESとはまったく無関係のアプリ。広告収入目当て?)とか、ちょっと回りくどくて鬱陶しい。とにかく広告三昧。「SMB2を有効にするのには指定アプリのインストールが必要」ってあたりから、一歩引いてたんですが、このアプリ外広告の件で見限りました。
(今ググったら、ESファイルエクスプローラーは今すぐ削除すべき!! [hatenablog.com]ってブログ記事が見つかりました。)
というわけで、半年ほど前からはESは使わなくなったのですが、
ESに代わる、これといったファイルマネージャがなかなか見つからないんですよね。
ESは使い勝手だけはそれなりに良いと思う。
Re: (スコア:0)
広告がうざったいのでプロ版 [google.com]買った。¥340するだけあって広告は一切出ない。
Re:広告地獄 (スコア:2)
広告は表示されませんが、でも問題はそこではないような?
私のツイートより
https://twitter.com/Rutice_jp/status/1085869768458919937 [twitter.com]
https://twitter.com/Rutice_jp/status/1087783159289106432 [twitter.com]
Re:広告地獄 (スコア:1)
広告は出ないけど、情報は外に出るか・・・
Re: (スコア:0)
こういう人ほんとにいるんだねえ。
Re: (スコア:0)
泥棒に追い銭
Re: (スコア:0)
いや、普通だろ、というか真っ当だろ。
今回は開発元がアレだが、アプリ開発も収益化しないと維持できないし、広告にするか購入にするかするしかない。
Androidは貧民が多いので購入が少く広告がメインになってる。それが嫌なら有償のものを買う、というのは普通だと思うが。
広告も嫌、有償版も嫌、ってただのクズユーザーですやん。
Re: (スコア:0)
(#3552060) の主張は「Baiduが噛んでて情報抜かれる率が高い」って問題は避けられないって内容な。
「ESが広告まみれ」って問題に対して有料版を買うのは真っ当な対処法だが。
「有償版も広告も嫌」って誰も言ってないのに、君は誰と戦ってるんだ?
Re: (スコア:0)
私もPro使ってるのですが、普通のファイルマネージャに見えます。
それこそ無印版がいろいろおかしくなる以前の雰囲気そのもの。
伝聞とかで無く、このソフト(Pro版)がどこかに通信しているか
調べるアプリってありますか?
Re: (スコア:0)
スマホのアプリなんて時々しか使わないので昔から何も考えずにこれ使ってました
広告もまあ大して気になっていませんでした
NASにもシームレスに行けるのが良かったんですが、さて、代わりは何が良いんでしょうね?
Simejiは百度と聞いてから避けていたのに・・
Re: (スコア:0)
ASUS製のファイルマネージャーがオススメ
https://play.google.com/store/apps/details?id=com.asus.filemanager&hl=ja [google.com]
Re: (スコア:0)
紹介ありがとうございます
一回おきくらいにASUSのスマホ使っているのでASUSには抵抗無いです
Re: (スコア:0)
ES File ExplorerがBaiduに買収されて悪行が明るみになって以降は、ほぼ同様の機能を持つFX File Explorer [google.com]の有償版を使っている。
Bluetooth経由ではあるもののP2Pでファイルのやりとりも可能だし。
Re: (スコア:0)
Mixplorer
Re: (スコア:0)
MiXplorerかSolid Explorerあたりでも使っとけばいい
シンプルなのでも良いならシンプルファイルマネージャーなりMK Explorerなり色々あるけど
百度(Baidu)に買収 (スコア:1)
邪悪なフレーズに見えてしまう昨今。
Shimejiも百度でしたっけ、けっこうアレコレ言われてなりを潜めたかと思ったらまた「かわいい」フリしてテレビCMやってて、ヤル気満々に見えてしまう。
中華の息がかかった無償アプリは避けたくなるなる。
とか言って普段からGoogleやMSや林檎その他に盛大にダダ漏らしてるし>じぶん
Re: (スコア:0)
身売りする前はsmbサーバーに一番簡単に接続できるファイルマネージャーとして便利だったんですけどねえ。
ある日を境に見た目派手になって使い勝手悪くなって広告が増えて、こりゃ駄目だとアンインストールしました。
下の3社はその辺をいじらないので、マシかなあと。
買って結局腐らせるのとどっちがいいのかは判断つきませんけど。
Re:百度(Baidu)に買収 (スコア:1)
googleのファイルマネージャー試してみましたが、機能整理されすぎてすっきりしてていいんだけど物足りないですね。
他のアプリと組み合わせて補って使えばいいか。
とりあえずESはアンインストール。
Re: (スコア:0)
R-9の出番だ。
Re:百度(Baidu)に買収 (スコア:1)
波動砲ぶっ放す
そんなに人気のソフトだったのか (スコア:1)
名前は聞くけど使ったことないな…
Re: (スコア:0)
このアプリを入れると必ずウイルスチェックソフトが警告を出すので、必要な時だけこのソフトを入れるとかしています。アプリ管理ソフトとかで検索すると出てくる定番アプリなので。
最近は、凡人の個人データを分析解析してないでしょうから放置してあります。せいぜい位置情報からこの地域は人がたくさんいるななんて推測できる程度かなあと思っているので、逆に渋滞情報でも出したらどうだなんで思ってはいるのだけど。(ファイルマネージャーが道路混雑状況を教えてくれたら、ある意味でホラー?)
Re: (スコア:0)
スラドを見てるような人でもこの程度のがいるんだねえ。
(スラドの質がどうとかではなく、サイトのジャンル的に)
Re: (スコア:0)
知ったかで他人を下に見て越にいるのがスラドの正しい姿
Re:そんなに人気のソフトだったのか (スコア:1)
もしかして「悦にいる」?
Re: (スコア:0)
ベトナムにいるのでは
Re:そんなに人気のソフトだったのか (スコア:1)
Re: (スコア:0)
かなり古参のソフトで、初代Galaxy tab使ってた頃にもインストールしてた。
その頃から「Windowsのエクスプローラーと同様に使える」という、当時のAndroidアプリとしては非常に高性能でUIもわかりやすかった。
まあ要するに、Androidがまだまだのときに、大量のその他有象無象アプリが現れる前に、Windowsを使い慣れた層に名を売れたわけだ。
今じゃAndroid端末でわざわざデータファイルを管理するという意識そのものがマイナーになっているので、
#アプリ→ファイルが直結していて、ファイルマネージャーですべてのファイルと同等に扱うという概念を持ってな
自動アプデ停止と通信遮断 (スコア:1)
Windowsもアンドロイドも自動アップデートは止めて、不要な通信は遮断してる。
ESは通信必須なアプリじゃないから遮断しても問題ないし、1年以上前のバージョンで何ら不都合なく使えてる。
#アプリは人気出ると新しいバージョンで情報収集始めるイメージ
Re: (スコア:0)
特定アプリの通信を遮断しても、Googleのサービス経由で出ていくから・・・・
ほかにも (スコア:0)
同じような経緯でQuickpicなんかも以前話題になりましたね。
別の画像ビューアをいくつか試したもののどれも今一歩及ばずで悩ましい
Re: (スコア:0)
QuickPic_4.5.2_SignAligned
Re: (スコア:0)
Fotoギャラリー [google.com]使ってます。
一応擁護すると (スコア:0)
Wifiとかでファイルを受け渡すためのファイルサーバー機能かと
X-plorerとかだとシェアフィー払わないと有効じゃない機能だが・・・
まぁバイドゥに情報送ってる点でTカード程度に危ない
Simejiもそうだけど使わんほうがいいよね
Re: (スコア:0)
リモートからアプリを起動できるようにする必要まではないだろう。
あと、パーソナルデバイスからはクライアント機能のみで十分じゃね?
Re:一応擁護すると (スコア:1)
ESには、ES同士ピアツーピアでファイルをやりとりする機能があるんですよ。
コピー元側のESでファイルを選択し、送るで送り方にESを選ぶと、LAN内で起動しているESの一覧が出る→コピー先を選ぶと、コピーされる側でファイル送信を受け取るかどうかのポップアップが出る、という流れ。
この手のファイル送受信機能だと、インターネットに繋いでクラウド経由、ってのが多いですが、
サーバ不要で、インターネットにつながってなくてもいい、というのはそれなりに便利。
具体的に、どうやって実現してるかまでは気にしたこと無かったんですが、「そのためにhttpサーバ上げっぱなし」というなら、まあ納得。
#とはいえ、「リモートからアプリを起動できるようにする必要」は無いとは思います。
Re: (スコア:0)
必要はないけど、その用途ならリモートから起動できたほうが便利ではあるよね。
結局は信用の問題でしかない。
Re: (スコア:0)
今回の脆弱性?は取りあえずローカルネットワーク上からしかアクセスできないようなので
「直ちに影響する事態でない」かな
Re: (スコア:0)
> Tカード程度に危ない
どちらも自国の捜査当局に情報お漏らしまくりですからね。
分析機能がすごいよ (スコア:0)
何気に分析機能が優れているので、エッチなビデオとかスマホに置いておくと、すぐ見つけられちゃう。
標準のは? (スコア:0)
Re: (スコア:0)
SAMSUNGのはそれが腐ってるんだよ。
いや、これはさ (スコア:0)
そのリンク先 [techcrunch.com]でも
それは、HTTPプロトコルを使ってビデオを他のアプリにストリーミングするために使われる、という合理的な説明もある。
ということで済む話なんじゃないの?
以前、ES File Explorerが外部アプリに選択したファイルを渡すのに、
SMB/CIFSアクセス機能を持たないアプリにもネットワークドライブ上にあるファイルを渡せているので、
「いったいどうやって実現しているんだ?」と不思議に思って調べたら、
こういうわけ(ミニWebサーバーを動かして、http越しに渡していた)だと知って、
「いや、ファイル一つ渡すのにすごい手間かけてるなwwでもまあそうするしかないか」と感心した覚えがある。
AndroidがOSとしてSMBアクセスを提供していないのでこうでもしないとネットワークドライブ上にある
ファイルをアプリ間で受け渡すっていうのができないんだよね。
(アプリ側でSMB対応するにしても、それぞれの独自インプリになるので、共通するインターフェースが無い)
だから、ES File Explirerに限らず、Android用のファイル管理アプリで同様な機能を提供しているところは、
みな同じことをやっていると思うが。
なんかBaiduの名を出してきて、故意にバックドアを設けているような印象をあたえようとしているみたいだけど、無理やりすぎw
その元記事の中でも触れられているように、そもそもローカルネットワーク内からしかアクセスできない話なので、
バックドア目的でやってるなら、外部ネットワークからアクセスできるようなものをこさえるだろうさw
まあ無駄にポートが空いていて、この記事でいうようなローカルネットワーク内から攻撃ができるというのは、
落ち度だけど。
TL;DR ハンロンの剃刀
Re: (スコア:0)
皆が神経質になっているときに、頼みもしないポートリッスン。
中共系システムは、中共圏で使うべき。
逆に、英米系システムは、中共圏で排除される。
Re: (スコア:0)
tempフォルダにでも入れなよ。
沈む (スコア:0)
カノ企業は買収したり関連企業でリリースしたりと企業名を隠す方針になっているようですね。
いちいちリリース元企業の遍歴や資本関係まで確認しないと危ないなんて面倒ですが仕方ない。
バイナリ解析すれば噂のSDKやライブラリ使ってるのがばれるかな?
SHIFT_JIS (スコア:0)
AndroidはUTF-8が標準?のようで、WindowsからコピーしたSHIFT_JISなテキストファイルが読めるビュアーが当時(いつ)なかなか無かった印象。今ならあるのか?
Re: (スコア:0)
純粋なビューアーは知らないけど、テキストエディタなら充実してきたよ
Re: (スコア:0)
TechCrunchのリンクは読んだかな?
Re: (スコア:0)
どこにでもある情報寄せ集めオレサマスゲー情弱wコメントの例