Проблема безопасности Stagefright: что может сделать обычный пользователь, чтобы устранить проблему без патча?

36

Похоже, что в Android существует гигантская уязвимость, которая в основном затрагивает все телефоны. Мир ПК написал:

Исследователь безопасности [Джошуа Дрейк] обнаружил, что подавляющее большинство телефонов Android можно взломать, отправив им специально созданное мультимедийное сообщение (MMS).

...

Дрейк обнаружил многочисленные уязвимости в основном компоненте Android под названием Stagefright, который используется для обработки, воспроизведения и записи мультимедийных файлов. Некоторые недостатки допускают удаленное выполнение кода и могут быть вызваны при получении MMS-сообщения, загрузке специально созданного видеофайла через браузер или открытии веб-страницы со встроенным мультимедийным контентом.

...

Вектор атаки MMS является самым страшным из всех, потому что он не требует взаимодействия с пользователем; телефон просто должен получить вредоносное сообщение.

Например, злоумышленник может отправить вредоносное MMS-сообщение, когда жертва спит и звонок телефона отключен, сказал Дрейк. После эксплуатации сообщение может быть удалено, поэтому жертва даже не узнает, что его телефон был взломан, сказал он.

Что может сделать обычный пользователь, чтобы смягчить проблему? Отключить Google Hangouts?

mattm
источник
Моя лучшая догадка будет: отключить / удалить MMS APN. MMS принимаются с использованием обычного соединения для передачи данных, но со специальным APN. Отключение / удаление этих запрещает вам получать такие MMS. (Примечание: я думаю, что никто больше не использует MMS, так что вы можете безопасно отключить / удалить APN)
GiantTree
1
Как насчет внесения в черный список неизвестных номеров, и как пользователь @GiantTree предложил отключить MMS, это ваша лучшая ставка. Потому что Stagefright атакует ваш мобильный телефон сразу после того, как вы получите MMS на свой телефон, либо приложение обмена сообщениями, либо приложение Hangouts, которое вы когда-либо настраивали в качестве приложения по умолчанию.
Счастливчик
2
@ Лаки, внесение в черный список уменьшило бы возможности, но это небезопасный подход, поскольку вы все еще полностью уязвимы для всех тех телефонных номеров, которым доверяете, и вы не можете быть уверены, кто попытается подшутить над вами ради шутки или чего-то подобного другая причина. И хотя отключение MMS было бы хорошим вариантом, в конечном итоге мы видим некоторые (редкие) вопросы, относящиеся к MMS, поэтому нам все еще не хватает хорошего подхода к использованию MMS, но мы по-прежнему в безопасности.
Повелитель огня
1
Для тех пользователей, которые хотят отказаться от MMS в качестве обходного пути (например, я), я все же думаю, что было бы полезно предоставить инструкции по его отключению.
Фабио Бельтрамини
1
Посмотрите эту статью на THN, чтобы узнать, что уничтожение APN или защита вашего текстового мессенджера не уменьшит проблему.
Повелитель огня

Ответы:

20

Это касается не только MMS или веб-серфинга, поскольку Stagefright - это библиотека, которая помогает телефонам распаковывать мультимедийные сообщения: см. « Медиа» и эту статью о Fortune.

Так что речь идет о любом приложении (включая ваш веб-браузер), которое работает с мультимедиа (видеоклипы и аудиозаписи). MMS - это самый простой способ использовать его, потому что ваш телефон не будет спрашивать вас перед загрузкой.

Вот почему вам также необходимо подумать обо всех других приложениях, работающих с мультимедиа, и никогда не открывать какие-либо мультимедийные вложения, пока исправление не установлено на вашем телефоне.

Для веб-браузера вы можете переключиться на Firefox 38 или выше , затем вы можете продолжить открывать веб-страницы с видео и / или аудио контентом.

Чтобы подвести итог:

  • Отключите автоматическое извлечение MMS в приложении обмена сообщениями (что бы это ни было) ( Руководство с изображениями )
  • Переключитесь на Firefox 38 или более позднюю версию (найдите ее в своем магазине или магазине приложений)
  • Переключиться на диспетчер файловой системы, скрывающий миниатюры видео , что по умолчанию для Total commander
  • Переключитесь на видеопроигрыватель с невосприимчивостью, например, MX-проигрыватель видеоплеера (обязательно активируйте его настройку «HW +» для всех видеоформатов ), указанный hulkingtickets
  • Не открывайте никакие мультимедийные файлы и не рисуйте миниатюры видео в любых других приложениях и по возможности блокируйте их автоматическое открытие / загрузку во всех приложениях. Это очень важно . Если ваш телефон не пропатчен, и вы используете ЛЮБОЕ приложение с мультимедийным контентом, и нет возможности заблокировать автоматическое открытие мультимедиа в этом приложении (например, для браузера: если вы открываете какую-то случайную веб-страницу, ваш браузер должен предварительно загрузить видео, если они находятся на этой веб-странице), затем прекратите использование этого приложения и заблокируйте доступ к Интернету для этого приложения (если не можете - удалите приложение). Если это приложение важно для вас, и вы не можете обновить прошивку телефона или заблокировать мультимедиа в этом приложении, просто прекратите использование телефона и купите другой , который не уязвим.

    Да, это означает, что в худшем случае вам нужно сменить телефон. Stagefright - это очень серьезная уязвимость, затрагивающая ~ 1 миллиард устройств, поэтому вы легко можете стать жертвой автоматической атаки, которая направлена ​​не против вас, а направлена ​​на 1 миллиард пользователей.

  • Установите обновления, если у вас Cyanogenmod 11 или 12 (исправлено 23.07.2015, см. Коммиты на github )

    РЕДАКТИРОВАТЬ: исправления от 23.07.2015 были неполными, вам может потребоваться обновить после исправления 13.08.2015

    РЕДАКТИРОВАТЬ 4: Исправления 13.08.2015 снова были неполными, вам нужно обновить еще раз после исправлений от Google в октябре 2015 года (так называемый Stagefright 2.0). Если у вас Adroid 5.x или 6, вам может потребоваться обновить его после следующих исправлений от Google в ноябре 2015 года, поскольку существуют аналогичные опасные уязвимости (CVE-2015-6608 и CVE-2015-6609), которые, вероятно, не называется Stagefright больше. Обратите внимание, что время фактического исправления от вашего производителя может быть позже или, по крайней мере, другим. Например, CM11 был обновлен 09.11.2015 , а CM12.1 обновлен 29.09.2015 .

    РЕДАКТИРОВАТЬ 5: 2: больше уязвимостей Stagefright сообщается Google на 01.02.2016, однако они «только» влияют на Adroid 4.4.4 - 6.0.1

  • Ждите обновления от вашего производителя

    РЕДАКТИРОВАТЬ 2: Как и в случае с Cyanogenmod, обновления от вашего производителя может быть недостаточно из-за проблемы с первоначальным исправлением целочисленного переполнения, о которой сообщалось 12.08.2015: оригинальное исправление целочисленного переполнения неэффективно . Поэтому даже после обновления рекомендуется проверить, не подвержен ли ваш телефон уязвимости, с помощью приложения от Zimperium (искатель проблемы Stagefright): приложение Zimperium Stagefright Detector

  • Если у вас уже есть root, попробуйте исправить, предложенное GoOrDie. Также посмотрите это руководство.

    РЕДАКТИРОВАТЬ 3. Я пытался это исправить на Samsung S4 mini, и он не работал. Поэтому дважды подумайте, прежде чем рутировать свой телефон.

Андрей Сапегин
источник
1
Почему FF безопаснее? Вопрос: android.stackexchange.com/questions/120914/…
Клэй Николс
1
Отличный ответ. Спасибо. Еще одно дополнение: у MX-проигрывателя видеоплеера есть настройка, которая запрещает использование уязвимых частей библиотеки stagefright с ускорением hw, или вообще не использует stagefright в программном ускорении forum.xda-developers.com/apps/mx- игрок /…
hulkingtickets
9

Чтобы смягчить эту атаку, я отключил MMS-сообщения, так как я их все равно не использую. Вы можете сделать это в меню настроек. Выберите Сотовые сети> Имена точек доступа, выберите свою точку доступа и удалите «mms» из типа APN. Я также очистил MMSC.

(Нажмите на изображение, чтобы увеличить; наведите курсор на изображение, чтобы узнать инструкцию)

Порядок инструкций: следуйте изображениям слева направо в каждом ряду

Обратите внимание, что Android преобразует групповые SMS-сообщения в MMS-сообщения, поэтому вы можете отключить это. Для этого перейдите в приложение «Сообщения», откройте меню «Настройки» и отключите групповой обмен сообщениями и автозагрузку.

Люка Инвернизци
источник
1
Ваше решение решает проблему, поднятую здесь ?
Повелитель огня
Не имея SIM-карты с этим немецким оператором, я не могу проверить, работает ли она в этом случае. Я подтвердил, что я не получаю MMS с T-mobile в США. Я думаю, что отключение Auto-Retrieve должно быть достаточно хорошим (даже с помощью полезного немецкого оператора), но пока подробности атаки не будут опубликованы, сказать сложно.
Лука Инвернизци
1
Я отредактировал ответ, так как суть в изображениях, и было трудно переходить на другой сайт и прокручивать огромные изображения, не говоря уже о том, что мы стараемся меньше полагаться на сторонние ресурсы (Imgur - исключение). Надеюсь, ты не против. :)
Повелитель огня
Конечно! И кажется, что нельзя (по крайней мере, я не могу) отредактировать APN в Android 4.2.1, но можно сделать новый. Так что было бы больно в разных органах копировать оригинал APN с вашими предлагаемыми изменениями.
Повелитель огня
1
Флажок «групповые сообщения» выглядит так, как будто он управляет отправкой MMS, а не получением. Это не должно быть риском. Но отключение «автоматического извлечения» похоже на то, что телефон не сможет отображать содержимое вредоносного MMS. Какую дополнительную защиту обеспечивает изменение APN?
Вайзард
4

Новейшая версия Hangouts устраняет эту проблему, похоже, что она выполняет некоторые дополнительные проверки перед передачей мультимедиа в системную службу. Однако это не решает основную проблему в системе.

Вы можете также отключить MMS автоматически получать в Hangouts через его SettingsSMS→ снимите флажок Auto retrieve MMSили Коммуникатор через его SettingsAdvanced→ отключить Auto-retrieveUnder MMS. На этом сайте есть подробные шаги, если они вам нужны.

Мэтью Рид
источник
2
Мэтью, иногда источник (может быть ChangeLog) действительно помогает поверить в это утверждение.
Повелитель огня
@Firelord К сожалению, в журнале изменений Hangouts просто говорится о разных исправлениях ошибок; Я также не могу найти официальное заявление. Вы действительно можете проверить это только путем тестирования.
Мэтью Читал
3

Эта проблема также влияет на веб-серфинг. Попробуйте отключить media.stagefrightсвязанные свойства (если они есть) в build.propфайле конфигурации.

Смонтируйте корневой раздел как rwи отредактируйте build.prop. Установите media.stagefright.enable-###наfalse

Примечание: для этого требуется root-доступ .

GoOrDie
источник
Устройство должно быть root, смонтируйте корневой раздел как rw и отредактируйте параметр build.prop для обнуления свойств media-stagefright. Это не подтвержденное смягчение, но я сделал это.
GoOrDie
Какое устройство и версию Android вы используете? У меня нет такой настройки в моем build.prop.
Повелитель огня
Это старая 4.1.2
GoOrDie
Это то, что я сделал. Никто не скажет вам рутировать свой телефон для этого ... Просто подождите обновления или дополнительной информации, если можете.
GoOrDie
2

Компания Zimperium, которая сообщила об уязвимости, опубликовала дополнительную информацию об уязвимостях, связанных с Stagefright. , В магазине Google Play есть приложение, которое определяет наличие уязвимости на вашем устройстве. Очевидно, Samsung также опубликовал приложение, которое отключит MMS на устройствах Samsung, хотя его нет в Play Store.

mattm
источник
Это хорошее обновление вы опубликовали.
Повелитель огня
2

Поскольку MMS (Multi-Media-Messaging) является одним из нескольких способов запуска этого эксплойта, вы можете предотвратить это от эксплойтов MMS. Сценарий сам по себе не является подвигом. Stagefright - это мультимедийная библиотека, встроенная в платформу Android.

Эксплойт был обнаружен в мультимедийном инструменте, скрытом на глубоком системном уровне, так что почти все варианты Android, в основе которых лежит инструмент, могли быть легко нацелены. Согласно исследованию Zimperium zLabs, один мультимедийный текст может открыть камеру вашего устройства и начать запись видео или аудио, а также предоставить хакерам доступ ко всем вашим фотографиям или Bluetooth. Исправление Stagefright потребовало бы полного обновления системы (о котором еще не сообщалось, что она была выпущена каким-либо ОЕМ), поскольку эксплойт встроен в общесистемный инструмент. К счастью, разработчики SMS-приложений уже взяли проблему в свои руки и выпустили временные исправления, чтобы Stagefright не получал автоматический доступ к камере вашего устройства, останавливая запуск видео-сообщений MMS по мере их поступления.[Источник - заголовки Android]

Вы можете использовать Textra SMS или Chomp SMS из Play Store, который утверждает, что он способен ограничить этот эксплойт . Оба приложения Textra и Chomp SMS разработаны Delicious Inc. , получили новые обновления, которые ограничивают работу видео MMS-сообщений сразу после их получения вашим устройством.

Из базы знаний Textra ,

Эксплуатация сценического страха может возникнуть, когда любое приложение SMS / MMS создает миниатюру видео MMS, которая отображается в всплывающей подсказке или уведомлении, или если пользователь нажимает кнопку воспроизведения на видео или сохраняет ее в галерее.

Мы предоставили решение для StageFright в Выпуске 3.1 Textra прямо сейчас.

Очень важно: В других SMS / MMS - приложения, отключив Автополучение это НЕ достаточно , как только вы нажмите «загрузить» эксплоит потенциально становится активным. Кроме того, вы не получите MMS-сообщения или групповые сообщения. Не очень хорошее решение

По словам разработчика обоих приложений,

риск того, что ваше устройство будет предназначено для этого нового эксплойта, значительно снижается, поскольку сообщения MMS не могут автоматически запускаться.

Как я могу защитить от Stagefright с помощью Textra?

Включите в Stagefright Protectionнастройках приложения Textra.

Screenshot_Textra_Stagefright_protection

Снимок экрана (Нажмите, чтобы увеличить изображение)

Вот что происходит, если вы активируете приложение Stagefright Protection и получаете сообщение об уязвимости Stagefright,

  1. Stagefright Protected: как вы можете видеть ниже, сообщение не было загружено, а миниатюра не была разрешена, поэтому, если у этого видео есть эксплойт, нацеленный на Stagefright, то оно еще не сможет выполнить свой код. Сообщение имеет хороший ярлык «Защита от ограждения» под ним.

Screenshot_1

Снимок экрана (Нажмите, чтобы увеличить изображение)

  1. Что произойдет, если я нажму на сообщение Stagefright Protected? : Когда вы нажимаете кнопку «Воспроизвести» в MMS-сообщении: еще больше поле, с еще большей кнопкой воспроизведения и еще большей меткой «Stagefright».

Screenshot_2

Снимок экрана (Нажмите, чтобы увеличить изображение)

  1. Вы все еще хотите открыть СМИ и получить влияние? Наконец, при нажатии кнопки «Воспроизвести» в последний раз появится приятное предупреждающее сообщение о том, что загруженные видео могут содержать эксплойт под названием Stagefright.

( Примечание: никакого известного эксплойта нет, и если бы оно было, его имя не было бы Stagefright, так как Stagefright - это просто название мультимедийной библиотеки, уязвимой для использования ).

Screenshot_3

Снимок экрана (Нажмите, чтобы увеличить изображение)

Нажатие OKAY кнопку приведет к отображению любого видео, которое вы собираетесь просмотреть, и все. Если упомянутое видео действительно содержит эксплойт, нацеленный на Stagefright, то оно, фактически, запустится в этот момент.

Источник: Phandroid

Если вам интересно узнать, затронуты ли вы уже и являетесь ли вы жертвой использования Stagefright, скачайте это приложение Stagefright Detector из PlayStore, которое было выпущено zLabs (исследовательской лабораторией Zimperium), которая впервые сообщила об этой проблеме в Google.

Обновлено: [18-09-2k15]

10 августа компания Motorola официально выпустила исправление для системы безопасности Stagefright для проверки и опубликовала ее для провайдера. На форумах упоминается, что

Как только патч будет готов, вы увидите на телефоне уведомление о загрузке и установке обновления. Мы рекомендуем всем периодически проверять наличие последней версии программного обеспечения, выбрав «Настройки»> «О телефоне»> «Обновления системы».

И если вы используете Motorola и до сих пор не получили исправление безопасности, вы можете прочитать следующее, чтобы избежать угрозы безопасности от атаки:

Что я могу сделать, чтобы защитить себя, если на моем телефоне нет патча? Во-первых, загружайте только мультимедийный контент (например, вложения или что-либо, что нужно декодировать для просмотра) от людей, которых вы знаете и которым доверяете. Вы можете отключить возможность телефона загружать MMS автоматически. Таким образом, вы можете выбрать загрузку только из надежных источников.

  • Обмен сообщениями: перейдите в Настройки. Снимите флажок «Автоматически получать MMS».
  • Hangouts (если включено для SMS; если оно серое, никаких действий не требуется): перейдите в «Настройки»> «SMS». Снимите флажок автоматического получения MMS.
  • Сообщение Verizon +: выберите «Настройки»> «Дополнительные настройки». Снимите флажок Авто-получение. Снимите флажок «Включить предварительный просмотр веб-ссылки».
  • WhatsApp Messenger: выберите «Настройки»> «Настройки чата»> «Автоматическая загрузка мультимедиа». Отключите все автоматические загрузки видео в разделах «При использовании мобильных данных», «При подключении по Wi-Fi» и «При роуминге».
  • Handcent Next SMS: зайдите в настройки> Настройки получения сообщений. Отключить автозагрузку.

Читайте больше на:

Как защититься от уязвимости stagefright?
Каковы другие векторы атаки для Stagefright?

Счастливчик
источник
1
Да правильно! Как сказано в сообщении, StageFright - это эксплойт, и он может быть вызван не только из MMS, но и с помощью всего, что использует ядро ​​Android Framework Media Framework, имеющего эту уязвимость. Так что мой ответ относится только к эксплойту MMS-сообщения. Но есть и много других возможностей. Если Мобильные OEM-производители не примут всерьез эту проблему и не выпустят обновление для всех телефонов Android, то, как и все телефоны, уязвимы.
Счастливое
«неизвестного эксплойта нет, и если бы его имя было не Stagefright, так как Stagefright - это просто название мультимедийной библиотеки, уязвимой для использования»: теперь они неверны для обеих учетных записей: PhK связывает эксплойт с ошибка CBS с именем stagefright
user2987828
2

Рекламный MX Player утверждает, что воспроизводит видео без ошибок, связанных со сценой . Вам нужно выбрать все серые кнопки и все кнопки с синей галочкой, показанные на этих изображениях:

откройте MX Player, откройте его настройки выберите настройки декодера активируйте HW + декодеры (не HW), затем введите кодеки и активировать все кодеки

Вам также необходимо очистить настройки всех приложений Video Player по умолчанию, а затем выбрать MX Player в качестве приложения Player по умолчанию.

Отказ от ответственности: это приложение поставляется в двух версиях: одна бесплатная с рекламой , а другая "Pro" за 6,10 € . Я не связан с его авторами. Я не буду получать доход от этого поста. Я могу получить только определенное количество очков репутации.

Спасибо hulkingtickets за идею этого самого ответа.

user2987828
источник