Cosa ci fa un web server che lavora in background all’interno di una delle applicazioni più popolari per Android? È la domanda che è sorta spontanea a Baptiste Robert, ricercatore di sicurezza francese quando ha analizzato il comportamento di ES File Explorer, applicazione scaricata oltre 500 milioni di volte dal Play Store.
Grazie al web server “qualsiasi dispositivo collegato alla rete locale può ottenere qualsiasi dato presente nel dispositivo“. Utilizzando un semplice script il ricercatore, che in Rete si fa chiamare Elliot Alderson, come il protagonista di una nota serie TV, è riuscito a estrarre video, foto e file, anche quelli presenti nella memory card esterna.
È inoltre possibile eseguire arbitrariamente qualsiasi applicazione già installata nello smartphone della vittima, a patto che sia installata la versione 4.1.9.5.2 o inferiore. Ovviamente i rischi non sono così elevati, visto che un eventuale attaccante deve essere collegato alla stessa rete e deve avere le opportune conseguenze, ma è possibile che qualche malintenzionato crei delle app malevole che cercano proprio questo tipo di vulnerabilità, sfruttando magari le reti pubbliche come quelle dei ristoranti, delle università o degli aeroporti.
Lo sviluppatore di ES File Explorer al momento non ha fornito chiarimenti sulla situazione, anche se nella descrizione è menzionata la presenza di un web server che permette di gestire lo smartphone da remoto. peccato che non si parli del fatto che il web server è sempre attivo, anche quando tale funzione non è richiesta.