ESファイルエクスプローラーが謎のIPアドレスへポート80番のアクセスをしているらしいので簡易的に調べてみた

2014-08-09(Sat) Android
セキュリティ

昼間ぐらいに見たこれ

ファイル管理ツール「ES ファイルエクスプローラー」に不正な通信の疑い | AndroidニュースやアプリのAppLab

自分がAndroid端末を持ち始めた頃から愛用してましたこのアプリも疑惑と聞いて、寝耳に水な状態です。Twitterでも、削除しているかたもいますし、とりあえず自分も削除している人です。

ただ、なんとなく気になって、たまたまキャプチャできる環境が合ったので調べて見ました。寝不足やや面倒だったので、やったことと簡単な見解を簡易的にまとめます。

(Twitterのつぶやきで、ESファイルエクスプローラーのことをESファイルマネージャと言ってました。おもいっきり間違えていたようで訂正を込めてブログにまとめ直しました。)

確かにESファイルマネージャは中国圏のアドレスにつながってる。あとbaiduのフォルダも作られてた。久々に起動したからか今日のファイルスタンプだった pic.twitter.com/hryGc8Qb5e

— hiroshi sano (@hrs_sano645)

2014, 8月 9

ESファイルマネージャーの件続き。あれからtPacketCaptureである程度のパケットを取った上で、wiresharkの「follow tcp stream」の機能を使ってhttpのやりとりを見れました。 http://t.co/SUwo8Jon4m pngダウンロードだけ?

— hiroshi sano (@hrs_sano645)

2014, 8月 9

追記:2014/08/09 22:08

自分が取ったキャプチャした中にもbaiduのドメインに送ってるgzipファイルがあって、中身を見たところ端末の個体情報が入ってるようでした。 pic.twitter.com/o8Vmcn3Bn6

— hiroshi sano (@hrs_sano645)

2014, 8月 9

以下よりまとめです。

検証のまとめ

  • 以下のAndroid端末、アプリを利用し、パケットキャプチャを行う
  • Nexus 7 2013 / Android v4.4.3
  • ES File Explorer V3.1.9.1
  • tPacketCapture
  • ES File Explorer (以下、このアプリ)パケットキャプチャの結果を以下のソフトウェアで確認
  • wireshark 1.10.8 Mac版
  • キャプチャした結果をwiresharkの機能にある「Follow TCP Stream」で確認した結果
  • 結果はこちら -> es_file_explorer_v3.1.9.1_packetcapture_tcp_stream
  • Destination: 202.108.23.200 (202.108.23.200) へ通信している -> でした
  • やっていることは、www.estrongs.com のサイト上にあるpngファイルのダウンロードを行っていた
  • ファイルを見たところ、このアプリのフォルダなどに利用されているアイコンらしい画像をダウンロードしている模様
  • それ以外のやりとりは確認できず
  • なお、baidoのフォルダが作成される現象もあるらしいのですが、確かに自分のAndroid端末でありました(Nexus 7 2013, Xperia Z1 fにて確認)
  • 中身は.cuid という89バイトの英数字記号が入った文字列がありました
  • このアプリが生成したものかは不明です。が、数日前は確認出来なかったのと、今日このアプリを起動した日付のタイムスタンプでした。
  • 追記:2014/08/09 22:08
  • 通信冒頭に、hmma.baidu.comというホストへgzipファイルを送っている
  • 中身を見ると、IMEIや製品名や通信環境(Wifiと書かれてた。その時の外部へ接続している?)が記載されている(jsonファイル?)。その他の項目は不明。

個人的な見解

いつのバージョンからはいったのか分かりませんが、このアプリで見れるフォルダ一覧にて、別のアプリが利用しているフォルダにアイコンがつくようになったようです。

その機能を動的に(対応アプリが増えてもアプリの更新をするのが面倒でしょうし)適応したいために、アイコンを内蔵せずに自前のサーバーからアイコンをダウンロードすることにしているのではないかと思います。

もとより、このアプリは中国の企業? ES APP Groupが開発されているものですし、"www.estrongs.com"は中国のIPアドレスなのも合ってか、まあ色々と騒がれてしまわれ易い点があると思います。

今のところ日本だけ?で言われているで今後どうなるかはよくわからないです。

しかし、secroid(セキュロイド) のES ファイルエクスプローラーの概要ページにて、リスク項目に書かれている「ユーザ識別情報を外部に送信している」の項目にて、送信先がbaiduになっている点はちょっと良く分かりません。

baiduのフォルダと謎のファイルが作られています。何がどうしたのかがイマイチ不明で、この辺が怖いです。

(怖いと言ってはいますが)なお、これ以上の追試は行うつもりはありませんのであしからず。

蛇足:もしできたらやってもらいたいこととお願い

パケットキャプチャとかできる方はぜひ試してみてほしいのと、Google先生にお願いしたいことを述べておきます

ぜひやってもらいたいこと

まだ、このアプリがどのぐらい外部への通信をしているかわからない(secroidの内容が心配なのもある)ので、以下を試したほうが良いと思います。

  • このアプリのみ入った環境でのパケットキャプチャ
  • 長期間でのパケットキャプチャ
  • baiduフォルダと.cuidファイルが作られるかどうか
  • .cuidの中身が何なのか

Google先生へのお願い

通信関連の権限を出すときに、どこ接続するのか(具体的なホスト名)/不特定多数の場所へ接続する と言ったものが出せるようにしてもらえると、判断に助かると思います。

開発者への負担が増えてしまうと思いますが、現状のアプリストアの仕様では、アプリの開発元が信頼できるかが担保できないと思います。何をやろうとしているかの宣言を明確にすることの必要性は今後増えてくると思います。

自分には良い方法を持ち合わせているわけではないので、これぐらいしか言えないのですが。。。

追記:2014/08/09 22:08

コチラの方の情報の元、自分のキャプチャしたものを確認したところ、確かにhmma.baidu.comへgzipファイルを送っているようでした。

確かに、通信をキャプチャしてみると、初回起動時に http://t.co/rALZk7PN2n に対してgzipファイルを送信しようとする。展開してみるとIMEIなどの端末情報が書かれていた。 > ES ファイルエクスプローラー pic.twitter.com/3qxccYeQQs

— うそぶく (@usobuku)

2014, 8月 9

自分が確認した内容はこちら。中身を見たのですが、IMEIや製品名や通信環境(その時の?)がありました。後はよくわからないです。

自分が取ったキャプチャした中にもbaiduのドメインに送ってるgzipファイルがあって、中身を見たところ端末の個体情報が入ってるようでした。 pic.twitter.com/o8Vmcn3Bn6

— hiroshi sano (@hrs_sano645)

2014, 8月 9

参考