パスワードを忘れた? アカウント作成
13819473 story
Android

Androidアプリ「ES File Explorer」がバックグラウンドでHTTPサーバーを立ち上げていたことが見つかる 70

ストーリー by hylom
どっちにしろ信用はできなさそうな 部門より
maia曰く、

ダウンロード件数が数億とも言われるAndroid向け人気ファイルマネージャー「ES File Explorer」が、バックグラウンドでWebサーバーを実行させているとの指摘が出ている。これによって外部から端末内のさまざまなデータにアクセスできるようになっていたという(TechCrunch)。

「ES File Explorer」の噂をチェックしてみると、以前にも「巷で危険なアプリだと騒がれて」いたらしいが、開発会社のES(EStrongs)は2013年1月に百度(Baidu)に買収されており(黒翼猫のコンピュータ日記2nd Edition)、その後BaiduのSDKを使っているようだ。

9to5GoogleAndroid Policeによると、起動時に59777番ポートでの待ち受けを行い、ここにJSON形式で指定した命令をHTTPで送信することで、端末内のファイルを読み取ったり、端末の情報を取得できるようになっていたという。このアプリではファイル共有機能を新機能として実装していたようで、これに関する問題のようだ。開発者はこれに対し、問題を修正したバージョンをリリースするとしているという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 広告地獄 (スコア:5, 参考になる)

    by taka2 (14791) on 2019年01月18日 10時41分 (#3550250) ホームページ 日記

    以前からメインスマホにはES File Explorer は入れっぱなしにしてたのですが、
    一年ぐらい?前から、アプリ使用中に頻繁に広告ポップアップが出るように。
    Webブラウザ使用中が多いので最初はうざいページ内広告かと思ってたのですが、
    ブラウザ以外でも出るので、インストール済アプリが悪さしていると判断、
    いろいろ試行錯誤した結果、ESをアンインストールしたら出なくなりました。

    あとは「機能制限解除するためには○○のアプリをインストールしろ」ってなる(○○はESとはまったく無関係のアプリ。広告収入目当て?)とか、ちょっと回りくどくて鬱陶しい。とにかく広告三昧。「SMB2を有効にするのには指定アプリのインストールが必要」ってあたりから、一歩引いてたんですが、このアプリ外広告の件で見限りました。

    (今ググったら、ESファイルエクスプローラーは今すぐ削除すべき!! [hatenablog.com]ってブログ記事が見つかりました。)

    というわけで、半年ほど前からはESは使わなくなったのですが、
    ESに代わる、これといったファイルマネージャがなかなか見つからないんですよね。
    ESは使い勝手だけはそれなりに良いと思う。

    • by Anonymous Coward

      広告がうざったいのでプロ版 [google.com]買った。¥340するだけあって広告は一切出ない。

      • by Rutice (31742) on 2019年01月23日 3時53分 (#3552723)

        広告は表示されませんが、でも問題はそこではないような?

        私のツイートより
        https://twitter.com/Rutice_jp/status/1085869768458919937 [twitter.com]
        https://twitter.com/Rutice_jp/status/1087783159289106432 [twitter.com]

        親コメント
      • by Anonymous Coward on 2019年01月22日 8時09分 (#3552001)

        広告は出ないけど、情報は外に出るか・・・

        親コメント
      • by Anonymous Coward

        こういう人ほんとにいるんだねえ。

        • by Anonymous Coward

          泥棒に追い銭

        • by Anonymous Coward

          いや、普通だろ、というか真っ当だろ。
          今回は開発元がアレだが、アプリ開発も収益化しないと維持できないし、広告にするか購入にするかするしかない。
          Androidは貧民が多いので購入が少く広告がメインになってる。それが嫌なら有償のものを買う、というのは普通だと思うが。
          広告も嫌、有償版も嫌、ってただのクズユーザーですやん。

          • by Anonymous Coward

            (#3552060) の主張は「Baiduが噛んでて情報抜かれる率が高い」って問題は避けられないって内容な。
            「ESが広告まみれ」って問題に対して有料版を買うのは真っ当な対処法だが。

            「有償版も広告も嫌」って誰も言ってないのに、君は誰と戦ってるんだ?

      • by Anonymous Coward

        私もPro使ってるのですが、普通のファイルマネージャに見えます。
        それこそ無印版がいろいろおかしくなる以前の雰囲気そのもの。

        伝聞とかで無く、このソフト(Pro版)がどこかに通信しているか
        調べるアプリってありますか?

    • by Anonymous Coward

      スマホのアプリなんて時々しか使わないので昔から何も考えずにこれ使ってました
      広告もまあ大して気になっていませんでした
      NASにもシームレスに行けるのが良かったんですが、さて、代わりは何が良いんでしょうね?
      Simejiは百度と聞いてから避けていたのに・・

    • by Anonymous Coward

      ES File ExplorerがBaiduに買収されて悪行が明るみになって以降は、ほぼ同様の機能を持つFX File Explorer [google.com]の有償版を使っている。
      Bluetooth経由ではあるもののP2Pでファイルのやりとりも可能だし。

    • by Anonymous Coward

      Mixplorer

    • by Anonymous Coward

      MiXplorerかSolid Explorerあたりでも使っとけばいい
      シンプルなのでも良いならシンプルファイルマネージャーなりMK Explorerなり色々あるけど

  • by nemui4 (20313) on 2019年01月18日 7時12分 (#3550163) 日記

    邪悪なフレーズに見えてしまう昨今。
    Shimejiも百度でしたっけ、けっこうアレコレ言われてなりを潜めたかと思ったらまた「かわいい」フリしてテレビCMやってて、ヤル気満々に見えてしまう。
    中華の息がかかった無償アプリは避けたくなるなる。

    とか言って普段からGoogleやMSや林檎その他に盛大にダダ漏らしてるし>じぶん

    • by Anonymous Coward

      身売りする前はsmbサーバーに一番簡単に接続できるファイルマネージャーとして便利だったんですけどねえ。
      ある日を境に見た目派手になって使い勝手悪くなって広告が増えて、こりゃ駄目だとアンインストールしました。
      下の3社はその辺をいじらないので、マシかなあと。
      買って結局腐らせるのとどっちがいいのかは判断つきませんけど。

    • by Anonymous Coward

      R-9の出番だ。

  • 名前は聞くけど使ったことないな…

    • by Anonymous Coward

      このアプリを入れると必ずウイルスチェックソフトが警告を出すので、必要な時だけこのソフトを入れるとかしています。アプリ管理ソフトとかで検索すると出てくる定番アプリなので。
      最近は、凡人の個人データを分析解析してないでしょうから放置してあります。せいぜい位置情報からこの地域は人がたくさんいるななんて推測できる程度かなあと思っているので、逆に渋滞情報でも出したらどうだなんで思ってはいるのだけど。(ファイルマネージャーが道路混雑状況を教えてくれたら、ある意味でホラー?)

    • by Anonymous Coward

      かなり古参のソフトで、初代Galaxy tab使ってた頃にもインストールしてた。
      その頃から「Windowsのエクスプローラーと同様に使える」という、当時のAndroidアプリとしては非常に高性能でUIもわかりやすかった。
      まあ要するに、Androidがまだまだのときに、大量のその他有象無象アプリが現れる前に、Windowsを使い慣れた層に名を売れたわけだ。
      今じゃAndroid端末でわざわざデータファイルを管理するという意識そのものがマイナーになっているので、
      #アプリ→ファイルが直結していて、ファイルマネージャーですべてのファイルと同等に扱うという概念を持ってな

  • by Anonymous Coward on 2019年01月22日 9時00分 (#3552024)

    Windowsもアンドロイドも自動アップデートは止めて、不要な通信は遮断してる。
    ESは通信必須なアプリじゃないから遮断しても問題ないし、1年以上前のバージョンで何ら不都合なく使えてる。

    #アプリは人気出ると新しいバージョンで情報収集始めるイメージ

    • by Anonymous Coward

      特定アプリの通信を遮断しても、Googleのサービス経由で出ていくから・・・・

  • by Anonymous Coward on 2019年01月18日 13時01分 (#3550329)

    同じような経緯でQuickpicなんかも以前話題になりましたね。
    別の画像ビューアをいくつか試したもののどれも今一歩及ばずで悩ましい

  • by Anonymous Coward on 2019年01月22日 7時41分 (#3551995)

    Wifiとかでファイルを受け渡すためのファイルサーバー機能かと
    X-plorerとかだとシェアフィー払わないと有効じゃない機能だが・・・

    まぁバイドゥに情報送ってる点でTカード程度に危ない
    Simejiもそうだけど使わんほうがいいよね

    • by Anonymous Coward

      リモートからアプリを起動できるようにする必要まではないだろう。
      あと、パーソナルデバイスからはクライアント機能のみで十分じゃね?

      • ESには、ES同士ピアツーピアでファイルをやりとりする機能があるんですよ。

        コピー元側のESでファイルを選択し、送るで送り方にESを選ぶと、LAN内で起動しているESの一覧が出る→コピー先を選ぶと、コピーされる側でファイル送信を受け取るかどうかのポップアップが出る、という流れ。

        この手のファイル送受信機能だと、インターネットに繋いでクラウド経由、ってのが多いですが、
        サーバ不要で、インターネットにつながってなくてもいい、というのはそれなりに便利。
        具体的に、どうやって実現してるかまでは気にしたこと無かったんですが、「そのためにhttpサーバ上げっぱなし」というなら、まあ納得。

        #とはいえ、「リモートからアプリを起動できるようにする必要」は無いとは思います。

        親コメント
        • by Anonymous Coward

          必要はないけど、その用途ならリモートから起動できたほうが便利ではあるよね。
          結局は信用の問題でしかない。

    • by Anonymous Coward

      今回の脆弱性?は取りあえずローカルネットワーク上からしかアクセスできないようなので
      「直ちに影響する事態でない」かな

    • by Anonymous Coward

      > Tカード程度に危ない
       
      どちらも自国の捜査当局に情報お漏らしまくりですからね。

  • by Anonymous Coward on 2019年01月22日 9時29分 (#3552047)

    何気に分析機能が優れているので、エッチなビデオとかスマホに置いておくと、すぐ見つけられちゃう。

  • by Anonymous Coward on 2019年01月22日 10時28分 (#3552091)
    ちょっとさわるだけなんでAndroid標準のファイルマネージャーでいいとおもってる
    • by Anonymous Coward

      SAMSUNGのはそれが腐ってるんだよ。

  • by Anonymous Coward on 2019年01月22日 12時14分 (#3552166)

    そのリンク先 [techcrunch.com]でも

    それは、HTTPプロトコルを使ってビデオを他のアプリにストリーミングするために使われる、という合理的な説明もある。

    ということで済む話なんじゃないの?

    以前、ES File Explorerが外部アプリに選択したファイルを渡すのに、
    SMB/CIFSアクセス機能を持たないアプリにもネットワークドライブ上にあるファイルを渡せているので、
    「いったいどうやって実現しているんだ?」と不思議に思って調べたら、
    こういうわけ(ミニWebサーバーを動かして、http越しに渡していた)だと知って、
    「いや、ファイル一つ渡すのにすごい手間かけてるなwwでもまあそうするしかないか」と感心した覚えがある。

    AndroidがOSとしてSMBアクセスを提供していないのでこうでもしないとネットワークドライブ上にある
    ファイルをアプリ間で受け渡すっていうのができないんだよね。
    (アプリ側でSMB対応するにしても、それぞれの独自インプリになるので、共通するインターフェースが無い)
    だから、ES File Explirerに限らず、Android用のファイル管理アプリで同様な機能を提供しているところは、
    みな同じことをやっていると思うが。

    なんかBaiduの名を出してきて、故意にバックドアを設けているような印象をあたえようとしているみたいだけど、無理やりすぎw
    その元記事の中でも触れられているように、そもそもローカルネットワーク内からしかアクセスできない話なので、
    バックドア目的でやってるなら、外部ネットワークからアクセスできるようなものをこさえるだろうさw

    まあ無駄にポートが空いていて、この記事でいうようなローカルネットワーク内から攻撃ができるというのは、
    落ち度だけど。

    TL;DR ハンロンの剃刀

    • by Anonymous Coward

      皆が神経質になっているときに、頼みもしないポートリッスン。

      中共系システムは、中共圏で使うべき。
      逆に、英米系システムは、中共圏で排除される。

    • by Anonymous Coward

      tempフォルダにでも入れなよ。

  • by Anonymous Coward on 2019年01月22日 12時32分 (#3552179)

    カノ企業は買収したり関連企業でリリースしたりと企業名を隠す方針になっているようですね。
    いちいちリリース元企業の遍歴や資本関係まで確認しないと危ないなんて面倒ですが仕方ない。

    バイナリ解析すれば噂のSDKやライブラリ使ってるのがばれるかな?

  • by Anonymous Coward on 2019年01月22日 12時45分 (#3552188)

    AndroidはUTF-8が標準?のようで、WindowsからコピーしたSHIFT_JISなテキストファイルが読めるビュアーが当時(いつ)なかなか無かった印象。今ならあるのか?

    • by Anonymous Coward

      純粋なビューアーは知らないけど、テキストエディタなら充実してきたよ

typodupeerror

私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson

読み込み中...