Stagefright güvenlik sorunu: normal bir kullanıcı sorunu düzeltme eki olmadan azaltmak için ne yapabilir?

Android ile ilgili olarak tüm telefonları temel olarak etkileyen dev bir güvenlik açığı var gibi görünüyor. PC World yazdı:

Bir güvenlik araştırmacısı [Joshua Drake], Android telefonların büyük çoğunluğunun, onlara özel hazırlanmış bir multimedya mesajı (MMS) göndererek saldırıya uğradığını belirtti.

...

Drake, multimedya dosyalarını işlemek, oynatmak ve kaydetmek için kullanılan Stagefright adlı çekirdek Android bileşeninde birden fazla güvenlik açığı buldu. Bazı kusurlar uzaktan kod yürütülmesine izin verir ve MMS mesajı alırken, tarayıcıdan özel hazırlanmış bir video dosyasını indirirken veya gömülü multimedya içeriğine sahip bir Web sayfasını açarken tetiklenebilir.

...

MMS saldırı vektörü en korkutucu olanıdır, çünkü kullanıcıdan herhangi bir etkileşim gerektirmez; telefonun yalnızca zararlı bir mesaj alması gerekiyor.

Örneğin, saldırgan kurban uyurken ve telefonun zili susturulduğunda zararlı MMS gönderebilir, dedi Drake. İstismardan sonra mesaj silinebilir, bu yüzden kurban telefonunun saldırıya uğradığını asla bilmeyecek, dedi.

Düzenli bir kullanıcı sorunu azaltmak için ne yapabilir? Google Hangouts'u devre dışı bırak?

Bu sadece MMS veya internette gezinmekle ilgili değildir, çünkü Stagefright, telefonların multimedya mesajlarını açmalarına yardımcı olan kütüphanedir: Medya ve Fortune hakkındaki bu makaleye bakın .

Bu yüzden multimedya (video klipler ve ses kayıtları) ile çalışan herhangi bir uygulama (web tarayıcınız dahil) ile ilgilidir. MMS, istifade etmenin en kolay yoludur, çünkü telefonunuz indirmeden önce size sormaz.

Bu nedenle, multimedya ile çalışan diğer tüm uygulamaları düşünmeniz ve düzeltme telefonunuzda yüklü olmadan önce hiçbir multimedya eklentisini açmanız gerekmiyor.

Web tarayıcısı için Firefox 38 veya daha üstüne geçebilir , ardından web sayfalarını video ve / veya ses içeriği ile açmaya devam edebilirsiniz.

Özetle:

• Mesajlaşma Uygulamanızda (otomatik olarak ne olursa olsun) MMS’in otomatik olarak yeniden başlatılmasını devre dışı bırakın ( Resimlerle kılavuzluk edin )
• Firefox 38 veya daha yenisine geç (pazarında / uygulama mağazanda bul)
• Toplam komutan için varsayılan olan video minik resimlerini gizleyen bir dosya sistemi yöneticisine geçin
• Bağışıklık, örneğin video oynatıcı MX oynatıcı (emin olun onun aktive etmek olan bir video oynatıcı geçin "HW +" tüm video formatları için ayarlayarak ) tarafından işaret hulkingtickets

• Multimedya dosyalarını açmayın veya başka uygulamalarda video küçük resimler çizmeyin ve mümkünse tüm uygulamalarda otomatik olarak açılmasını / indirilmesini engellemeyin. Bu çok önemli . Telefonunuz yamalı değilse ve multimedya içeriğine sahip HERHANGİ bir uygulama kullanıyorsanız ve multimedya içeriğinin otomatik olarak açılmasını engelleme seçeneğiniz yoksa (örneğin, tarayıcı için: bazı rasgele web sayfalarını açarsanız, tarayıcınız videoları önceden yüklemelisiniz) bu web sayfasındasınız), ardından bu uygulamayı kullanmayı bırakın ve bu uygulamanın İnternet erişimini engelleyin (eğer yapamıyorsanız - uygulamayı silin). Bu uygulama sizin için önemliyse ve bu uygulamadaki telefon yazılımını güncelleyemiyor veya multimedyayı engelleyemiyorsanız , telefonunuzu kullanmayı bırakın ve başka bir tane satın alın ;

  Evet, bu en kötü durumda telefonu değiştirmeniz gerektiği anlamına gelir. Stagefright, ~ 1 milyar cihazı etkileyen çok ciddi bir güvenlik açığıdır, böylece doğrudan size karşı yapılmayan, ancak 1 milyar kullanıcıya yönelik otomatik bir saldırı kurbanı olabilirsiniz.

• Cyanogenmod 11 veya 12'ye sahipseniz güncellemeleri yükleyin (23.07.2015'te düzeltildi, bakınız github'daki taahhütler )

  EDIT: 23.07.2015 düzeltmeleri tamamlanmadı, düzeltmelerden sonra 13.08.2015 tarihinde tekrar güncellemeniz gerekebilir

  DÜZENLEME 4: 13.08.2015'teki düzeltmeler yine tamamlanmadı, Ekim 2015’te Google’dan yapılan düzeltmelerden bir kez daha güncellemeniz gerekiyor (sözde Stagefright 2.0). Adroid 5.x veya 6’nız varsa, Google’ın Kasım 2015’teki sonraki düzeltmelerinden sonra tekrar güncellemeniz gerekebilir , çünkü benzer şekilde tehlikeli güvenlik açıkları (CVE-2015-6608 ve CVE-2015-6609), Artık Stagefright denir. Unutmayın, üreticinizden yapılan asıl düzeltme süresinin daha sonra veya en azından farklı olabileceğini lütfen unutmayın. Örneğin, CM11 09.11.2015 tarihinde , CM12.1 29.09.2015 tarihinde güncellenmiştir .

  EDIT 5: 2 daha fazla Stagefright güvenlik açığı Google tarafından 01.02.2016 tarihinde bildirilmiştir , ancak "yalnızca" Adroid 4.4.4 - 6.0.1’i etkilemektedirler

• Üreticinizden güncelleme bekleyin

  EDIT2: Cyanogenmod'da olduğu gibi, 12.08.2015 tarihinde bildirilen başlangıç ​​tamsayı taşması düzeltmesi sorunu nedeniyle üreticinizden bir güncelleme yeterli olmayabilir: Orijinal tamsayı taşması düzeltmesi etkisiz . Bu nedenle, güncellemeden sonra bile, telefonunuzun Zimperium'dan (Stagefright sorununun bulucusu) Uygulamasını kullanarak hala savunmasız olup olmadığını kontrol etmeniz önerilir : Zimperium Stagefright Detector App

• Kökünüz varsa, GoOrDie tarafından sunulan düzeltmeyi deneyin. Ayrıca bu kılavuza bakın.

  EDIT 3. Samsung S4 mini bu düzeltmeyi denedim ve işe yaramadı. Yani telefonunuzu köklendirme önce iki kez düşünün.

Bu saldırıyı hafifletmek için, zaten kullanmıyorum, çünkü MMS'leri devre dışı bıraktım. Bunu Ayarlar menüsünden yapabilirsiniz. Hücresel Ağlar> Erişim Noktaları Adlarını seçin, erişim noktanızı seçin ve "mms" yi APN Türü'nden kaldırın. Ayrıca MMSC'yi de temizledim.

_{(Büyütmek için resme tıklayın; talimatı bilmek için resmi gezdirin)}

_{Talimatların Sırası: Her satırda soldan sağa görüntüleri izleyin}

Android'in grup SMS'leri MMS'lere dönüştürdüğünü, bu nedenle de devre dışı bırakmak isteyebileceğinizi unutmayın. Bunu yapmak için, Mesajlaşma uygulamasına gidin, Ayarlar menüsünü açın ve Grup Mesajlaşma ve Otomatik Alma'yı devre dışı bırakın.

Hangouts'un en yeni sürümü bu sorunu hafifletiyor, medyayı sistem hizmetine aktarmadan önce bazı ekstra kontroller yapıyor gibi görünüyor. Yine de, sistemdeki temel sorunu çözmüyor.

Ayrıca, Hangouts'ta MMS otomatik almayı Settings→ SMS→ işaretini kaldırın Auto retrieve MMSveya Messenger'da Settings→ Advanced→ Auto-retrievealtında devre dışı bırakma özelliğini kullanarak devre dışı bırakabilirsiniz MMS. İhtiyacınız olursa, bu sitede ayrıntılı adımlar vardır.

Bu sorun internette gezinmeyi de etkiler. Yapılandırma dosyasında media.stagefright(varsa) ilişkili özellikleri devre dışı bırakmayı deneyin build.prop.

Kök bölümünü farklı şekilde bağlayın rwve düzenleyin build.prop. Set media.stagefright.enable-###içinfalse

Not: Bu root erişimi gerektirir .

Bu güvenlik açığını bildiren şirket Zimperium, Stagefright ile ilgili güvenlik açıkları hakkında ek bilgi yayımladı. . Google Play Store'da, güvenlik açığının cihazınızda bulunup bulunmadığını tespit edecek bir uygulama var. Görünüşe göre Samsung, bu Play Store'da olmasa da, Samsung cihazlarında MMS'i devre dışı bırakacak bir uygulama yayınladı.

MMS (Multi-Media-Messaging), bu istismarın çalıştırılmasının birçok yolundan biri olduğundan, bunu MMS istismarlarından önleyebilirsiniz. Stagefright kendi başına bir istismar değildir. Stagefright, Android çerçevesine yerleştirilmiş bir multimedya kütüphanesidir .

Bu istismar, derin sistem seviyesinde gizlenmiş bir multimedya aracında bulundu, böylece aracı çekirdeğinde bulunan neredeyse tüm Android varyantları kolayca hedeflenebilirdi. Zimperium zLabs'in araştırmasına göre, tek bir multimedya metni, cihazınızın kamerasını açma ve video veya ses kaydetmeye başlama ve aynı zamanda bilgisayar korsanlarının tüm fotoğraflarınıza veya Bluetooth'unuza erişebilmesini sağlar. Olarak Stagefright Sabitleme, (hala herhangi bir OEM tarafından tahliye edilecek bildirilmemiştir) tam bir sistem güncellemesini gerektirecektir istismar sistem genelinde aracına yerleştirilmiştir. Neyse ki, SMS uygulama geliştiricileri sorunu zaten kendi ellerine aldılar ve Stagefright'ın video MMS mesajlarının geldiği sırada çalışmasını engelleyerek cihazınızın kamerasına otomatik olarak erişmesini önlemek için geçici düzeltmeler yaptı.[Kaynak - Android başlıkları]

Sen kullanabilirsiniz Textra SMS veya Chomp SMS bunun yeteneğine sahip olduğunu iddia Play Store'dan Stagefirght istismar bu sınırlayıcı . Hem Delicious Inc. tarafından geliştirilen Textra hem de Chomp SMS uygulamaları , MMS mesajlarının cihazınız tarafından alındığı anda nasıl çalışacağını sınırlayan yepyeni güncellemeler aldı.

Gönderen Textra Bilgi Bankası makalesinde,

Stagefright istismarı, herhangi bir SMS / MMS uygulaması, konuşma balonunda veya bildirimde gösterdiği MMS videosu küçük resmini oluşturduğunda veya bir kullanıcı videodaki oynat düğmesine basarsa veya Galeri'ye kaydederse ortaya çıkabilir.

Şimdi Textra Sürüm 3.1'deki 'StageFright' için bir çözüm sunduk.

Çok Önemli: Diğer SMS / MMS uygulamalarında, otomatik almayı kapatmak, 'indir' düğmesine dokunduğunuzda istismar potansiyel olarak aktif hale geldiğinde yeterli değildir . Ek olarak herhangi bir MMS resmi veya grup mesajı almazsınız. İyi bir çözüm değil.

Her iki uygulamanın geliştiricisine göre,

Cihazınızın bu yeni suistimali hedef alma riski, MMS mesajlarını otomatik olarak çalıştırma özelliğini reddederek büyük ölçüde azalır.

Textra'yı kullanarak Stagefright'dan nasıl koruyabilirim?

Stagefright ProtectionTextra uygulaması ayarlarınızın altını açın .

_{Ekran görüntüsü (Resmi büyütmek için tıklayın)}

Yani, uygulamanın Stagefright Korumasını etkinleştirirseniz ve bir Stagefright istismar mesajı alırsanız ne olur?

1. Stagefright Korumalı: Aşağıda görebileceğiniz gibi, mesaj indirilmedi ve küçük resim çözülmedi, bu nedenle eğer bu video Stagefright'ı hedefleyen bir istismara sahipse, henüz kodunu çalıştıramaz. Mesajın altında güzel bir “Stagefright Koruması” etiketi var.

_{Ekran görüntüsü (Resmi büyütmek için tıklayın)}

2. Stagefright Korumalı iletisini tıklarsam ne olur? : MMS mesajındaki Oynat düğmesine bastığınızda: daha da büyük bir kutu, daha da büyük bir oynat düğmesi ve daha da büyük bir “Stagefright” etiketi.

_{Ekran görüntüsü (Resmi büyütmek için tıklayın)}

3. Hala Medyayı açmak ve etkilenmek istiyor musunuz? : Son olarak, Oynat düğmesini son bir kez tıklattığınızda, indirilen videoların Stagefright adlı bir istismar içerebileceğini hatırlatan güzel bir uyarı mesajı çıkar.

( Not: Bilinen bir istismar yoktur ve eğer adı olsaydı Stagefright olmazdı çünkü Stagefright, istismar edilmeye açık bir multimedya kütüphanesinin adıydı ).

_{Ekran görüntüsü (Resmi büyütmek için tıklayın)}

Düğmeye basmak, OKAYhangi videoyu izleyeceğinizle açılır ve hepsi bu kadar. Söz konusu video aslında Stagefright'ı hedef alan bir istismar içeriyorsa, o zaman aslında şu anda yürütülür.

Kaynak: Phandroid

Zaten etkilenip etkilenmediğinizi ve Stagefright'ın istismarının mağduru olup olmadığını merak ediyorsanız , sorunu Google’a bildiren zLabs (Zimperium araştırma laboratuvarları) tarafından piyasaya sürülen PlayStore’dan bu uygulamayı Stagefright Detector’ı indirin.

Güncelleme: [18-09-2k15]

Motorola, 10 Ağustos'ta Stagefright güvenlik sorunu için test görevlilerinin güvenlik yamasını resmi olarak yayınladı ve taşıyıcı sağlayıcısına dayanarak halka duyuruldu. O olduğu forumlarda bahsedilen , yani

Bir düzeltme eki hazır olduğunda, güncellemeyi indirmek ve yüklemek için telefonunuzda bir bildirim göreceksiniz. Ayarlar> Telefon Hakkında> Sistem Güncellemeleri bölümünden kontrol ederek herkesi en son yazılıma sahip olup olmadığını periyodik olarak kontrol etmelerini öneririz.

Ve eğer Motorola'yı kullanıyorsanız ve hala güvenlik düzeltme ekini alamıyorsanız, saldırı altında güvenlik riskini önlemek için aşağıdakileri okuyabilirsiniz,

Telefonumun eki yoksa kendimi korumak için ne yapabilirim? İlk olarak, tanıdığınız ve güvendiğiniz kişilerden yalnızca multimedya içeriği (ekleri veya görüntülenmesi için kodu çözülmesi gereken herhangi bir şey gibi) indirin. Telefonunuzun MMS'i otomatik olarak indirme özelliğini devre dışı bırakabilirsiniz. Bu şekilde, yalnızca güvenilir kaynaklardan indirmeyi seçebilirsiniz.

• Mesajlaşma: Ayarlar'a gidin. “MMS'i otomatik al” seçeneğinin işaretini kaldırın.
• Hangouts (SMS için etkinleştirildiyse; grileşirse işlem yapmanıza gerek yoktur): Ayarlar> SMS'e gidin. MMS otomatik al seçeneğinin işaretini kaldırın.
• Verizon Message +: Ayarlar> Gelişmiş ayarlar'a gidin. Otomatik al seçeneğinin işaretini kaldırın. “Web bağlantısı önizlemesini etkinleştir” in işaretini kaldırın.
• Whatsapp Messenger: Ayarlar> Sohbet ayarları> Medya otomatik indir seçeneğine gidin. “Mobil veri kullanırken”, “Wi-Fi'ye bağlanıldığında” ve “Dolaşımdayken” altındaki tüm video otomatik indirmelerini devre dışı bırakın.
• Sonraki SMS Handcent: ayarlar> Mesaj ayarları al seçeneğine gidin. Otomatik almayı devre dışı bırak.

Daha fazlası için:

Stagefright güvenlik açığından nasıl korunulur?
Stagefright için diğer saldırı vektörleri nelerdir?

Ad-ware MX Player , sahne hakkına bağlı hatalar olmadan video oynatmayı iddia ediyor . Bu görüntülerde gösterilen tüm gri düğmeleri ve tüm mavi işaretli düğmeleri seçmeniz gerekir:

Ayrıca tüm Video Oynatıcı uygulamalarının varsayılanlarını temizlemeniz ve ardından varsayılan Oynatıcı uygulaması olarak MX Oynatıcı'yı seçmeniz gerekir.

Feragatname: Bu uygulama iki sürümde gelir: biri reklamlarla ücretsiz , diğeri ise 6.10 € karşılığında "Pro" . Yazarlarıyla ilgili değilim. Bu gönderiden hiçbir gelir elde etmeyeceğim. Sadece belirli miktarda rep puan alabilirim.

Hulkingtickets'e bu cevabın fikri için teşekkürler .