【Android】Baiduの「ES File Explorer」がHTTPサーバーを勝手に立ち上げ 外部から端末内のデータにアクセスできる脆弱性
■ このスレッドは過去ログ倉庫に格納されています
Androidアプリ「ES File Explorer」がバックグラウンドでHTTPサーバーを立ち上げていたことが見つかる
2019年01月21日 22時00分
ダウンロード件数が数億とも言われるAndroid向け人気ファイルマネージャー「ES File Explorer」が、バックグラウンドでWebサーバーを実行させているとの指摘が出ている。これによって外部から端末内のさまざまなデータにアクセスできるようになっていたという(TechCrunch)。
「ES File Explorer」の噂をチェックしてみると、以前にも「巷で危険なアプリだと騒がれて」いたらしいが、開発会社のES(EStrongs)は2013年1月に百度(Baidu)に買収されており(黒翼猫のコンピュータ日記2nd Edition)、その後BaiduのSDKを使っているようだ。
9to5GoogleやAndroid Policeによると、起動時に59777番ポートでの待ち受けを行い、ここにJSON形式で指定した命令をHTTPで送信することで、端末内のファイルを読み取ったり、端末の情報を取得できるようになっていたという。このアプリではファイル共有機能を新機能として実装していたようで、これに関する問題のようだ。開発者はこれに対し、問題を修正したバージョンをリリースするとしているという。 Huawei避けても中華アプリ入れてたら意味ないなw バイドゥなんてクソ怪しいもん入れてる日本人いるのか そもそこ茸どうにかしろ、あれに収集されてるだろ暗証番号やら生年月日 これ中華だったんか
Androidのファイルマネージャはまともなのがないな (バレてしまった)問題を(バレないように)修正したバージョンをリリースする
だろ >>1
そんな攻撃的な脆弱性があってたまるか
ただの驚異やろ Pythonでも 同じだろ。 こんな 馬鹿スレ、書くなぁ。 >>12
もっと軽くていいのあるよ
昔はesも良かったんだけどな
急にコテコテ飾るようなった 以前もなんか変な通信してるとか話題になってて
Solidに変えてたから安心
支那SDKを使ってるものすべてが危ないんだよ
SDKってのは
アプリケーションを作るときの道具を集めたようなもの
家の手入れをするときによく使う、
雑巾や掃除機やバケツなどを詰め込んだ工具箱みたいなもんだな
この道具の中に、個人情報を盗もうとするテロ国家の支那による悪意あるものが紛れ込んでいて
支那の道具を使う限り、すべてでこういうことが起きると
そもそもESなんか入れてたら広告がウザいだろ
よく入れてられるな 親戚のパソコンにBaidu IMEが入っててエクセル使えなくなる不具合があったな ファイルマネージャーは富士通のKSファイルマネージャー使ってるわ…
さすがに国産だし余計なもんはないと思いたい 俺も前の機種で使ってたわ
今はファイルマネージャーというアプリ入れてる。
ここの会社どこか見たら、韓国だった。 8
売国奴 石破 死ゲルは1992年、9cmの粗チンをぶら下げ、
意気揚々と土人国家へ
乗り込んだ。女に縁がない石破 死ゲルは会場で粗チンを天高く突き上げた(違法薬物)も効いていたのだろう。
モランボンを指名した石破 死ゲルは夢の世界へ導かれる。しかし、醜い裸体やあんな事こんな事、一部始終録画されていたのである。
土人国家のキムチ委員長に弱みを握られた石破 死ゲルは反日の契りをキムチ委員長と交わし、現在に至る。(実話) ESは昔はそれしかまともなの無かったからなぁ
イマドキ入れてるのはSimeji使ってる奴と同等なセキュリティ意識低い奴 これ色々できて便利なんだよな
怪しい、という説はかなり前からあったけど
機能的に代替できるファイラーがないから
できるだけoff lineで使うなどして使ってたわ Simejiでもやらかしてたしもうここはダメだろ。
とっとと潰してしまえ チャイナはチャイナってだけで排除されても仕方ねえだろ これ百度だったのかよ知らなかったわ
自分の情報弱者具合を嘆きたい
一時期使ってたけどもう絶対使わないわ >>31
国産アプリの取得した個人情報使いますね、ファイルアップしたら勝手に使いますねみたいな使用規約見てチビれw
アメリカとかEUがやっぱり安全だよ
消費者にせよ、行政にせよ、監視の目も厳しいし >>31
国産だから安心って訳分からんな
こないだもデンソーの公式QRコードリーダーアプリが無断で端末情報を送信してたぞ? こんなの脆弱性とは言わないだろ。
仮にポート空いてたとしてもキャリア網から入ってこれないだろ。
飛行機とかフリーWi-Fiに繋げたAndroidならアタック出来るぐらい。 このアプリ、去年も勝手にバイドゥに情報送ってるとかニュースあったと思う
ついでに言うとアプリ外で広告出したり
「高速充電機能」とか詐欺もやってるだろ 山田ウイルスと同じ事やってたわけか
そりゃバレるだろ ES File Explorer 青い奴だっけ
中国のbaiduだったんだな
入れてないけど >>44
安心では無いが、
侵略意図を持っている独裁国家のアプリを避けることで
大幅なリスク低下は望めるだろ。 >>46
なんでキャリア網から入ってこれないと思ったの?
普通に入れるけど 可愛いマスコットみたいの出てきてアンインスコ引き止めるあざといやつだな >>46
入ってこれないなら取りに行けばいいんだな? シナチョンスマホを避けてもシナチョンアプリを入れたら同じことだとあれほど(ry >>45
山田オルタナティブだっけかw
懐かしいなww
あれのせいでWinnyの風評被害凄かったもんな 仮にこのプログラムに問題が無かったとしても、
バイドゥの傘下と知ったからにはアンインスコ確定だわ バイドゥになって随分経つのに未だによくおすすめに上がるんだよな >>53
それは単に心の安心程度レベル…
別に国が作ってるわけじゃないし 最近、馬鹿みたいにバッテリー食ってたわけが、分かったかも。 >>1
なにこれ
俺が買った当初は違ったのに、途中でBaiduに買収されてたのかよ
そんな連絡来てないぞ
死ねBaidu 脆弱性じゃなくてそういう目的でばら撒いてたソフトだろw >>64
あの国に西側諸国感覚の民間企業があるとでも思ってんの? 本当かどうかはしらんが
本当なら脆弱性じゃなくてソフトウェアそのものがトロイの木馬だろ ESファイルエクスプローラーが良かったのはバージョン3.2.5.5まで。
それ以降はうんこ 普通に使ってる
Yahooのファイルマネージャがメインなんだけどフォルダ移動するとファイルのゴミが残ったりするんだよね
なぜか消しても復活するバグファイル
それがなきゃひとつでいいのに ES File Explorerはbaiduだったのか
知らなかった
違うアプリを勝手に入れてくるんで、使わなくなったけど、この手のソフトでは一番いいアプリだった
同じくらい使い勝手のいいやつあるのかね >>71
何故西側諸国という単位の感覚を持ち出すのか
意味不明だわ。
西側諸国はすべて安全だというのかw ていうかなんでAndroidの基本機能として
エクスプローラ的なもの入れてないの? >>79
度合いの話をしているところで
「すべて安全だというのか」と0/1の話を持ち出すのは
言い返せないから話をすり替える手法だね。
日本のド素人って、
「戦争とは我々軍隊だけがやればいいんだ」とか思ってるが
現代戦は軍隊だけでは勝てないんだよ
アメリカ軍だって民間防衛に力を入れている
こういうところからも戦争は始まってんだぜ
敵国民にスパイを紛れ込ませれば、正規軍では対処できない
そんなこともわかってねーやつはとっとと日本から出て行ってもらいたいものだ
これ結構前に問題になってた話なのになんで今頃?
しかも無料版でしょ レノボにキングソフト入れれば、鬼も金棒も要らない。 >>7
日本語IMEも使ってる人多かったようだが
入力した文字が中国のサーバーに送られてたってやつ >>85
百度が口封じの恫喝と記者へのバラ捲きしているけど
この記者が百度に集っても無視された。
そういう流れだろ 日本語変換のSimejiをBaiduが取り込んで危険だと言われたときに
同じくBaiduが取り込んだアプリ群の中にES File Explorerも含まれていて使うなと言われてたのに おすすめ
Solid Explorer
FX File Explorer
File Commander
----
Explorer (無料) Amazonのfireシリーズで使ってる率非常に高い 有名アプリが気づいたら支那系に買収されててってのが多いよね
んでそのまま自動アップデート設定しててあららと 探したらFireTVに入ってたわ
ローカルとクラウドから抹殺してやった
webサーバー立ち上げるとかやめろよ中華 中国凄いな企業全部操りなんでもできる
流石次期覇権国家だわ
僕ら日本人もアメリカ捨てて中国の犬になりたいね >>81
いやいや西側諸国って決めつけてるの君じゃんw
危ねえもんはドコにでもあるんだよ
国で決まるもんじゃねぇ おすすめのファイラーみたいな記事では
たいてい真っ先に名前が出てるな >>106
だよね
書いてる奴らアホだろ
入れてた俺もアホだけど 勝手なアップデートがデフォなのも問題
安全な時に入れても、勝手に危険版にアップデート 諸悪の根源はセキュリティがザルのOSだからね
アプリ開発企業のモラル以前の問題
邪悪なgoogle帝国が存在する限りどんなセキュリティ対策も骨抜きされる >>106
提灯ライター一覧を見れば載っているライターだろ? 使ってるんだが消した方がいいの?
シェア1位だから入れてる人多いでしょ 裏で何やってるのか実はよくわからん
ストレージへの権限が必要ですって言われたらそりゃファイラーなんだし許可するしかねーよな
でも実は勝手に送信してたとか 心配になって確認したら中華製の他のアプリつかってたわ
今更だが削除したけどこえええよもう まともなファイヤウォールすらないスマホにセキュリティを望むのは無理がある
すべて見られていると思って使うしかない 情強を気取り中華端末を買い中華アプリを入れる
最高じゃないですかぁ そもそも携帯のゴミOSがスパイみたいなもんだろ
アイポンにしろ安藤にしろ、アドミニストレータ権限ないゲスト状態じゃん
いずれにしろゴミって事だよ
それでも使いたい奴はハックしてアド権限で通信制御すればいいじゃんよ 仕様でしょ。
中華アプリなんか使うから。
以前やらかしたとき普通の奴はみな見切りつけて違うのにしたし。 これ前にも問題になってなかったか?
俺は今はCxを試してる最中だがローカル使用だけなら満足 ASUSアプリのファイルマネージャーもファイル転送機能あるけど
大丈夫かね >>7
GooglePlay見たらES globalって書いてあるだけで
Baiduなんてどこにも書いてないな
まあ以前から変な噂があったから使ってないけど Simeji もそうだろ、バイドゥに買収されてからは速攻アンインストールした。 つーかSimejiでさえユーザー多いだろ
以前やらかしたのにw これとQuickPicは中華に買収される前のバージョン保存して未だに使ってる >>140
古っ!
中華以外のイメージビュワーいっぱいあるやんw >>4
アズールレーンもダメだな
中国製アプリは言わずもがなだが、そのアプリの筆頭株主等も調べないとな シメジって話題になってるんだけど、本当に危ないの?ただ文字が可愛くなるだけじゃないの?
パスワードとかクレカ番号とか入力したデータが送られたりする?? esやSimejiは使ってない。
みんなの顔文字はどうなん? TETRA free で十分
日本人製作アプリで権限要求少ない x-plore いいと思うが人気ないの?
自宅の鯖にもアクセス出来るし
グーグルも、マイクロソフトも。 類似のアプリ探してると殆どのブログはこれ薦めてくるからな
初心者は大概これ使っちゃってるんじゃね 2013年に百度に買収され済みの会社だから、当然でしょう。 何が悪いんだ?って話だろ。それが中国側のルールなんだし。
個人を大事にってのはアメリカ同盟国側サイドの価値観だってだけだわ。
中国品使ってるならどっちのルールで作られてるか了解した上で
使ってるって事じゃん これとSimejiは使っちゃいかんということで、ずいぶん前に削除まつりなったろ 自宅に仮想utm入れたらAndroidがBaiduと通信してて案の定これだった >>165
いや、無知な子はデベロッパーとパブリッシャーの情報を見て確認する事もなくダウンロードしちゃっているから、使っている人は結構いると思う。 これでまたHUAWEI排除の動きが強まるという流れだな どういうソフトを作れば、脆弱性でかってにHTTPサーバーが立ち上がるんだ?しかも内部に侵入できるって?
どういう脆弱性なんだ。中国では秘密の仕様が見つかったら脆弱性っていうんだよな。 >>140
QuickPicは俺もw
これが使えるからAndroidを選んでる部分がある(笑)
他のビューワーアプリはiOS含めて好きになれないw >>33
生産国の話は置いといて
ログ見ても外部と通信していないみたいだし
その点に関しては安全かと >>175
smb使えるよ
ただ有料アプリだからお試し期間終わったらアプリ内課金が必要だが… なんだかんだいって「しめじ」の使い勝手が一番
ってことなんだよなぁ 中華系のアプリは100%スパイウェアだから入れることが間違い Simeji、ES、MXプレーヤー、QuickPicは
中華製だから使っちゃダメと聞いた
自分はテトラ使ってるな しれーっと買収してそんなん入れてくるのやめてくれる? 自宅の wifiにつないで、そのアドレスに向けてアクセスすると確かに返答帰ってくるな
192.168.1.2:59777
SERVER INTERNAL ERROR: Serve() returned a null response. 随分と昔から危ないと言われてきたのにまだ使っている奴がいるとは Baidu及びBaiduに接触した全てのコンピューターって言ったわね? それじゃ彼らが・・・ >>181
貧乏人は少しの金のために余計な時間を費やしてさらに貧乏になる ちょっとしたファイルの削除や移動ならOS付属の機能でいいのにな ASUS なら台湾製だから大丈夫と思ってZenFone 2 Laserを買ったら入ってたんだ。
どういうこと? iosのオレンジのFile Explorerも同じ? 消した方がいい? >>12
asus謹製のファイルマネージャーおすすめ
2chMate 0.8.10.10/asus/ASUS_Z01RD/8.0.0/LR trust go の Mobile Security や ブラウザの opera も挙動が怪しい。
operaをインストールして使ったらocnから「マルウェア感染の疑いに関するご注意」というメールが初めて届いた。 >>220
ZenPadユーザーなので、愛用してるw
NASにも繋げられるし便利だよね
あとは、フォルダの非表示化ができれば最高なんだけど ftp鯖ならありそう話だがwebdav鯖でもタチアゲテンノカネ 俺のESファイルエクスプローラはバージョン3.0.6.0だから大丈夫だよな? 今に始まった問題じゃないだろ
いまだに使ってる奴なんているの? >>165
少なくとも少し前から無料版は一見して酷いものになってるしな 初期の頃入れてたけど、中華アプリとわかった頃にアンインストールしてSolidに切り替えた
あの時の判断は正しかったか え?
「当局が情報を抜ける仕様」
を「公共目的」とかなんとか言って言い抜けようとしないの?
日本のどこぞより民度たけえ 俺、fireStickにも入れてた。orz
宅内ネットワークにつながってるから心配だわ 逆に、安全性が高いアプリのリストを出してくれ。
細かい使い勝手よりもgoogleの付属アプリじゃダメなのか? >>189
MX playerは広告の評判が悪いだけじゃ?
ググってもそれらしい情報は出てこないな。 外でたらグローバルIPがころころ変わるから安全じゃん
っと一瞬思ったが、裏で送信してるのかもな >>1
ESすすめる人めちゃ多かった
ドルフィンブラウザも中国と聞いたが大丈夫なの? fireStickでESを使ってもないのに、最近使ったアブリの最新にいつもあって不思議に思ってたんだよな。
ひょっとしたらヤバい事になってるのかも… >>1
げ、中華だったか
早速アンインストールした >>208
シゲさんがピーンときて入れなかったってさ 火のないとこに煙はたたないっつーが何年も前からヤバいヤバいとは言われてたよね
このスレで出てるSimejiも前に買収したんだっけ どうして中華製品はハードもソフトも例外が無いんだ? × 問題を修正したバージョン
○ 問題を隠したバージョン >>189
quickPICは、他にいいものがないからな。
画像ファイルの縦長横長を自動識別して
向きを自動的に調整してくれる機能が便利すぎ >>248
VLCは安全だわな。
でもMXも広告がうざいことを抜かせば
そんなに悪くないわな つか、有名アプリが軒並み中華に買収されたんで
むしろ使い勝手悪くなってねえか泥タブって。
ま、俺はスマホもタブレットも持ち歩いてるが
基本的にはMacBookで何でもやるタイプだけど 俺はX-ploreだわ。
DOS時代には2画面ファイラは使う気になれずFILMTNだったが
スマホだとパス指定が面倒だし2画面を享受させてもらってる 元ソニー社長、会長の出井伸之は、
バイドゥの取締役
これ豆な >>210
前にASUSのノートPCを初めて買って自分でWindows入れなおしたら
なんか訳わかんないドライバじゃないソフトを結構入れないと動くようにならないのなw
それでそのファイルの機能とかをネットでググると
英語のサイトとかには「何をやってるのか不明なプログラム」って思いっきり書かれてたりするw
速攻で中古で売っぱらって他のメーカーの製品に買い替えたよ >>255
お前が情弱なだけだろ。ASUSなんてOEMで他のメーカーに出してるやつと
ほとんど同じ基盤使ってるのに、変なソフト入れなきゃ動かないとかあるわけ無いじゃん。
入れなくても動くんだよ てか、無料ソフトとかいいう気持ち悪いものをバカスカ入れてる奴って何なの?
アプリがタダで作れると思ってんのかね
アプリの代金として個人情報抜くに決まってんじゃんw >>257
じゃ一遍買ってマイクロソフトのリテールのWindowsを
一からクリーンインストールしてみなよw
支那朝鮮は特徴があって
「使いやすい」って必ず言うのよ
具体的じゃねーの
具体的じゃない「使いやすい」があったら支那朝鮮で間違いなし
>>258
情報抜くのは有料無料関係ないよ
抜くかどうかの見極めさえできればいい
わかった? >>260
情シスやってるからその程度のことは何度もやってるよ。 だいたい今の安価なノートパソコンは、殆どがASUS系のOEMか
レノボ系のOEMで作られてるんだけどな。
馬鹿は知らないだろうけど バックグラウンドでの挙動がおかしいからこの前削除してたみたいだが、
しかしやっちまったなぁ。。。 いやノートはタッチパッドを中華が独占してて追加ドライバいっぱいあるよ
そのドライバがバックドアついてたって騒ぎになった 家電のアイロンにすらWifi乗っ取りチップ仕込む国だからな Cheetah Mobile CM社
360 Security 奇虎
Lion mobi
Trust Go 百度 一番いいのは?
俺はx-plore使ってるけど。
自宅のリソースにアクセスが簡単にできるのがいい。 ポート開くのはローカルネットワーク内のみという重要な部分が書かれてないな
まるでインターネット経由で中国から情報を取得できるような書き方 solidとx-ploreから悩むだろ。
esとか、情弱極地。 「Baiduってだけで避けるわ」って思ったけどES Globalの名前使っているから分からんわな 俺らみたいなもんの個人情報抜いて何する気なんだろ。
国レベルでオレオレ詐欺でもやる気なんだろか。 >>287
ビッグデータとして扱えるレベルだったら他社が金と手間暇かけて集めているものを金と手間暇かけずに集められるし
それを売る事もできる 違いが分かる男女はSolid Explorer一択。 日本も中国みたいにアプリのソースコード開示強制したら? Googleが純正のファイル管理ソフト作ればいいのに。
たぶんスゲー簡単なんだよね。
osがベースは作ってるだろうから、レイアウトを紐づけていくだけだと。 >>295
外付けストレージであれだけゴネたGoogleが?
嗤わせんな >>7
Android・iOS向けの日本語入力アプリで
トップシェアの「Simeji」もBaidu傘下のアプリだよ
日本で開発されたアプリだけど2011年にBaiduに買収された
過去に初期設定で打ち込まれた全ての情報を利用者に無断で外部に送信するキーロガーみたいな機能があると指摘されたこともあるんだけど
若者の多くがインストールしてるみたいだよ >>64
スパイ活動に協力する義務を定める
国家情報法がある限り何を言ってもムダ こんなの想定内だろ。
わざわざ中華アプリや朝鮮アプリを使う奴って
馬鹿なんじゃねえの。 ある時から、機能てんこ盛りでまともに動かなくなったので、他のアプリに乗り換えたがBaiduに買収されてたのか。
スマホについては、Flashlight + Clockの ファイルマネージャーとASUSのファイルマネージャーを併用してるがほぼ前者使ってるな。 バージョン1.6.2.5を使ってる
古いのは大丈夫と聞いたから プログラム上のバグじゃなく堂々としたバックドアというか正面玄関レベル お前のスマホにも、いつのまにか児ポ画像とかがおくりこまれて逮捕されるかもな
まさに支那リスク AndroidファイラースレではMiXplorerが最強常識
「ESなんちゃら」「Solidなんちゃら」「Tetraなんちゃら」「なんちゃらコマンダー」この辺使ってるのは脳弱な
11 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2017/09/18(月) 16:36:32.28 ID:PmDa7v5f
テトラファイラーに脆弱性だと
https://jvndb.jvn.jp/ja/contents/2014/img/JVNDB-2014-000002.png
13 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2017/09/18(月) 16:51:41.68 ID:fEtjQ6/h
今さらかよw
つかなんでMixplorer使わんの
148 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2017/10/29(日) 17:48:30.40 ID:D3HKyMW0
mix一択やなー
264 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2017/12/06(水) 19:28:45.58 ID:I1WBqmXc
>>260
今のESだけは除外だよ
その程度ならMIXで良いのでは?
594 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2017/12/28(木) 05:35:28.41 ID:UOMKMWN7 [1/2]
ESが100円だから念のため買っといたが
MiXが超絶最強過ぎてSolidも全然使ってないぐらいだから
出番はなさそうな気がする
94 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2018/03/05(月) 18:45:33.26 ID:V1fg8O/F [2/2]
ESなんていうスパイウェア使ってるのが悪い
MiXとか使えばいい
414 名前:名無しさん@お腹いっぱい。[] 投稿日:2018/07/13(金) 08:28:45.91 ID:+xRh4hqj [1/3]
SolidはAmazonawzからガンガン通信が来てるな。
NASにアクセスするだけなら火壁で自分のIPだけ許可すれば問題ないし
一体何のアクセスしてきてるんだろうな。
427 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2018/07/13(金) 22:14:00.62 ID:6JfpH8iF
>>414
MiX使えよ
432 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2018/07/15(日) 23:29:46.86 ID:iEW3mivA
そんな糞使わないでMiX落とせよ うちのファーウエイのスマホも、wifiに繋がってるのに何故かキャリアのデータ通信で毎日100kbyte程度なんかやりとりしてるんだよな
wifiだとサーバー建ててもルーターで弾かれちゃうし、ファイアウォールで接続ログも簡単に取れちゃうので、キャリアでなんか通信してるってありえるな >>99
今手元にないので確認出来ないが、
ES避けてFKコマンダーだかと
もう一つ違うの併用してる。 そんなにファイラー使わんなあ
たまに何かするときはPCからのデータ転送が主だからPC側から操作する 権限範囲が異常に多いのとポップアップ広告増えた当たりから使用を辞めてたが
Baiduだったのかw え、baiduの系列だったのか
昔から使っていたので何の疑問も持ってなかったが、即アンインスコ ファイラー自体あまり使わない
最近はChmateで画像貼るのも直接Googleドライブから行けたりするし >>249
F-Stop Galleryでとくに困らない >>189
MXは半島製ニダ
バグあるけど代替はVLC系 ■ このスレッドは過去ログ倉庫に格納されています