JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は1月26日(日本時間)、「JVN#98115035: Android アプリ「ELECOM File Manager」におけるディレクトリトラバーサルの脆弱性」において、エレコムが提供していたAndroidスマートフォン向けのアプリ「ELECOM File Manager」にディレクトリトラバーサルの脆弱性が存在することを伝えた。この脆弱性を悪用されると、攻撃者によって任意のファイルを作成されたり、既存のファイルを上書きされたりする危険性があるという。
ELECOM File Managerは、Android端末においてファイルやディレクトリの操作を自分好みにカスタマイズすることができるファイルマネージャーアプリ。JPCERT/CCによると、このアプリにはZIP形式で圧縮されたファイルを展開する際のファイル名の処理に不具合があり、攻撃者によるディレクトリトラバーサルが可能になっているという。その結果、リモートからアプリの権限でアクセス可能なディレクトリに対して、ファイルを作成したり既存のファイルを上書きしたりすることができる。
このELECOM File Managerはすでにサポートを終了しており、早急に使用を中止することが推奨されている。エレコムでは後継のアプリとして「ELECOM EXtorage Link」を提供している。ELECOM EXtorage Linkはこの脆弱性の影響を受けないとのことだ。