Problema di sicurezza Stagefright: cosa può fare un utente normale per mitigare il problema senza patch?

Sembra esserci una gigantesca vulnerabilità della sicurezza con Android che sembra influenzare sostanzialmente tutti i telefoni. PC World ha scritto:

La stragrande maggioranza dei telefoni Android può essere hackerata inviando loro un messaggio multimediale appositamente predisposto (MMS), ha scoperto un ricercatore di sicurezza [Joshua Drake].

...

Drake ha riscontrato più vulnerabilità in un componente Android di base chiamato Stagefright utilizzato per elaborare, riprodurre e registrare file multimediali. Alcuni dei difetti consentono l'esecuzione di codice in modalità remota e possono essere attivati ​​quando si riceve un messaggio MMS, si scarica un file video appositamente predisposto attraverso il browser o si apre una pagina Web con contenuti multimediali incorporati.

...

Il vettore di attacco MMS è il più spaventoso di tutti perché non richiede alcuna interazione da parte dell'utente; il telefono deve solo ricevere un messaggio dannoso.

Ad esempio, l'attaccante potrebbe inviare gli MMS dannosi quando la vittima dorme e la suoneria del telefono viene silenziata, ha detto Drake. Dopo lo sfruttamento, il messaggio può essere eliminato, quindi la vittima non saprà nemmeno che il suo telefono è stato violato, ha detto.

Cosa può fare un utente normale per mitigare il problema? Disabilitare Google Hangouts?

Non si tratta solo di MMS o di navigazione Web, poiché Stagefright è la libreria che aiuta i telefoni a decomprimere i messaggi multimediali: vedi Media e questo articolo su Fortune.

Quindi si tratta di qualsiasi applicazione (incluso il browser Web) che funziona con i contenuti multimediali (videoclip e registrazioni audio). L'MMS è solo un modo più semplice per sfruttarlo, perché il telefono non ti chiederà prima di scaricarlo.

Ecco perché devi anche pensare a tutte le altre applicazioni che funzionano con i contenuti multimediali e non aprire mai alcun allegato multimediale prima che la correzione non sia installata sul tuo telefono.

Per il browser Web, è possibile passare a Firefox 38 o versioni successive, quindi è possibile continuare ad aprire pagine Web con contenuti video e / o audio.

Riassumere:

• Disabilita il riavvio automatico degli MMS nella tua app di messaggistica (qualunque essa sia) ( Guida con immagini )
• Passa a Firefox 38 o versioni successive (trovalo nel tuo market / app store)
• Passa a un gestore di file system che nasconde le anteprime dei video , che è l'impostazione predefinita per Total Commander
• Passa a un lettore video immune, ad es. Il lettore video MX player (assicurati di attivare la sua impostazione "HW +" per tutti i formati video ) indicato da hulkingtickets

• Non aprire file multimediali o disegnare miniature di video in altre applicazioni e, se possibile, bloccare l'apertura / il download automatici di esse in tutte le app. Questo è molto importante . Se il tuo telefono non è patchato e usi QUALSIASI app con contenuti multimediali e non esiste alcuna opzione per bloccare l'apertura automatica dei contenuti multimediali in questa app (esempio per il browser: se apri una pagina Web casuale, il browser dovrebbe precaricare i video, se si trovano su questa pagina Web), quindi smetti di usare questa app e blocca l'accesso a Internet per questa app (se non puoi - elimina l'app). Se questa app è importante per te e non è possibile aggiornare il firmware del telefono o bloccare i contenuti multimediali in questa app, basta smettere di usare il telefono e acquistarne un altro , che non è vulnerabile.

  Sì, questo significa che nel peggiore dei casi è necessario cambiare il telefono. Stagefright è una vulnerabilità molto grave che colpisce ~ 1 miliardo di dispositivi, quindi potresti facilmente diventare vittima di un attacco automatico, che non viene fatto direttamente contro di te, ma diretto a tutti 1 miliardo di utenti.

• Installa gli aggiornamenti, se hai Cyanogenmod 11 o 12 (risolto il 23.07.2015, vedi commit su github )

  MODIFICA: le correzioni dal 23.07.2015 erano incomplete, potrebbe essere necessario aggiornare nuovamente dopo la correzione il 13.08.2015

  MODIFICA 4: le correzioni del 13.08.2015 erano di nuovo incomplete, è necessario aggiornare ancora una volta dopo le correzioni di Google nell'ottobre 2015 (il cosiddetto Stagefright 2.0). Se hai Adroid 5.xo 6, potresti dover aggiornare di nuovo dopo queste prossime correzioni da Google a novembre 2015, dal momento che ci sono vulnerabilità altrettanto pericolose (CVE-2015-6608 e CVE-2015-6609), che probabilmente non lo sono chiamato più Stagefright. Si noti che il tempo della correzione effettiva del produttore potrebbe essere successivo o almeno diverso. Ad esempio, CM11 è stato aggiornato il 09.11.2015 , mentre CM12.1 è stato aggiornato il 29.09.2015 .

  EDIT 5: altre 2 vulnerabilità di Stagefright sono segnalate da Google al 01.02.2016, tuttavia "influenzano" solo Adroid 4.4.4 - 6.0.1

• Attendere l'aggiornamento dal produttore

  EDIT2: simile a Cyanogenmod, un aggiornamento del produttore potrebbe non essere sufficiente, a causa del problema con la correzione iniziale di overflow dei numeri interi, riportata il 12.08.2015: correzione originale di overflow dei numeri interi inefficace . Quindi, anche dopo l'aggiornamento, si consiglia di verificare se il telefono è ancora vulnerabile utilizzando l'app di Zimperium (alla ricerca del problema Stagefright): l' app Zimperium Stagefright Detector

• Se hai già root, prova la correzione offerta da GoOrDie. Vedi anche questa guida howto .

  EDIT 3. Ho provato questa correzione su Samsung S4 mini e non ha funzionato. Quindi pensaci due volte prima di eseguire il root del telefono.

Per mitigare questo attacco, ho disabilitato gli MMS, dato che non li uso comunque. Puoi farlo nel menu Impostazioni. Selezionare Reti cellulari> Nomi punti di accesso, selezionare il punto di accesso e rimuovere "mms" dal tipo APN. Ho anche eliminato MMSC.

_{(Clicca sull'immagine per ingrandirla; passa il mouse sull'immagine per conoscere le istruzioni)}

_{Ordine delle istruzioni: seguire le immagini da sinistra a destra in ogni riga}

Nota che Android converte gli SMS di gruppo in MMS, quindi potresti voler disabilitare anche quello. Per fare ciò, vai all'app Messaggi, apri il menu Impostazioni e disabilita Messaggi di gruppo e Recupero automatico.

La versione più recente di Hangouts mitiga questo problema, sembra che faccia qualche controllo extra prima di passare i media al servizio di sistema. Tuttavia, non risolve il problema di fondo nel sistema.

Puoi anche disabilitare il recupero automatico degli MMS in Hangouts tramite Settings→ SMS→ deselezionare Auto retrieve MMSo in Messenger tramite Settings→ Advanced→ disabilita Auto-retrievein MMS. Questo sito ha passaggi dettagliati se ne hai bisogno.

Questo problema riguarda anche la navigazione sul web. Prova a disabilitare le media.stagefrightproprietà correlate (se esistenti) nel build.propfile di configurazione.

Montare la partizione di root come rwe modificare build.prop. Imposta media.stagefright.enable-###sufalse

Nota: questo richiede l'accesso come root .

Zimperium, la società che ha segnalato la vulnerabilità, ha pubblicato ulteriori informazioni sulle vulnerabilità correlate a Stagefright. . Nel Google Play Store è presente un'applicazione che rileverà se la vulnerabilità è presente sul tuo dispositivo. Apparentemente Samsung ha anche pubblicato un'app che disabiliterà gli MMS sui dispositivi Samsung, sebbene non sia presente nel Play Store.

Poiché l'MMS (Multi-Media-Messaging) è uno dei molteplici modi in cui questo exploit può essere eseguito, è possibile impedirlo dagli exploit MMS. Stagefright da solo non è un exploit. Stagefright è una libreria multimediale integrata nel framework Android.

L'exploit è stato trovato in uno strumento multimediale nascosto a livello di sistema profondo, quindi quasi tutte le varianti di Android che hanno lo strumento al centro potrebbero essere facilmente prese di mira. Secondo lo studio di Zimperium zLabs, un singolo testo multimediale ha la capacità di aprire la fotocamera del tuo dispositivo e iniziare a registrare video o audio e anche di consentire agli hacker di accedere a tutte le tue foto o Bluetooth. La correzione di Stagefright richiederebbe un aggiornamento completo del sistema (che non è stato ancora segnalato per essere rilasciato da alcun OEM), poiché l' exploit è incorporato in uno strumento a livello di sistema. Fortunatamente, gli sviluppatori di app SMS hanno già preso in mano il problema e rilasciato correzioni temporanee per evitare Stagefright per ottenere l'accesso automatico alla videocamera del dispositivo interrompendo l'esecuzione dei messaggi MMS video al loro arrivo.[Fonte: titoli Android]

Puoi usare Textra SMS o Chomp SMS dal Play Store che afferma di essere in grado di limitare questo exploit Stagefirght . Entrambe le app Textra e Chomp SMS sviluppate da Delicious Inc. hanno ricevuto entrambi nuovi aggiornamenti che limitano il modo in cui i messaggi MMS video vengono eseguiti non appena vengono ricevuti dal dispositivo.

Dal Textra Knowledge Base articolo,

L'exploit stagefright può verificarsi quando qualsiasi app SMS / MMS crea la miniatura del video MMS che mostra nel fumetto della conversazione o nella notifica o se un utente preme il pulsante di riproduzione sul video o salva nella Galleria.

Abbiamo fornito una soluzione per "StageFright" nella versione 3.1 di Textra ora disponibile.

Molto importante: in altre app SMS / MMS, la disattivazione del recupero automatico NON è sufficiente poiché quando si tocca "scarica" ​​l'exploit diventa potenzialmente attivo. Inoltre, non riceverai foto MMS o messaggi di gruppo. Non è una buona soluzione.

Secondo lo sviluppatore di entrambe le app,

il rischio che il tuo dispositivo sia indirizzato a questo nuovo exploit è notevolmente ridotto negando ai messaggi MMS la possibilità di essere eseguito automaticamente.

Come posso proteggere da Stagefright usando Textra?

Attiva Stagefright Protectionsotto le impostazioni dell'app Textra.

_{Screenshot (clicca per ingrandire l'immagine)}

Quindi ecco cosa succede se attivi la protezione Stagefright dell'app e se ricevi un messaggio di exploit Stagefright,

1. Stagefright Protected: come puoi vedere di seguito, il messaggio non è stato scaricato e la miniatura non è stata risolta, quindi se questo video ha un exploit indirizzato a Stagefright, non sarà ancora in grado di eseguire il suo codice. Il messaggio ha una bella etichetta "Stagefright Protection" sotto di essa.

_{Screenshot (clicca per ingrandire l'immagine)}

2. Cosa succede se faccio clic sul messaggio Stagefright Protected? : Quando si preme il pulsante Play sul messaggio MMS: una casella ancora più grande, con un pulsante play ancora più grande e un'etichetta "Stagefright" ancora più grande.

_{Screenshot (clicca per ingrandire l'immagine)}

3. Vuoi ancora aprire i media e farti influenzare? : Infine, facendo clic sul pulsante Riproduci un'ultima volta, verrà visualizzato un messaggio di avviso che ricorda che i video scaricati possono contenere un exploit chiamato Stagefright.

( Nota: non esiste un exploit noto e se non ci fosse il suo nome non sarebbe Stagefright in quanto Stagefright è semplicemente il nome della libreria multimediale che è vulnerabile allo sfruttamento ).

_{Screenshot (clicca per ingrandire l'immagine)}

Premendo il OKAYpulsante si aprirà quindi qualsiasi video che stavi per vedere, e il gioco è fatto. Se detto video contenesse effettivamente un exploit che prende di mira Stagefright, in realtà sarebbe eseguito in questo momento.

Fonte: Phandroid

Se sei curioso di sapere se sei già interessato e vittima di un exploit Stagefright, scarica questa app Stagefright Detector da PlayStore che è stata rilasciata da zLabs (laboratori di ricerca Zimperium) che per primo ha segnalato il problema a Google.

Aggiornato: [18-09-2k15]

Motorola ha rilasciato ufficialmente una patch di sicurezza per il problema di sicurezza Stagefright il 10 agosto ai corrieri per i test ed è rilasciata al pubblico in base al fornitore del corriere. Nei forum è menzionato che,

Non appena una patch è pronta, sul telefono verrà visualizzata una notifica per scaricare e installare l'aggiornamento. Incoraggiamo tutti a controllare periodicamente se dispongono del software più recente selezionando Impostazioni> Informazioni sul telefono> Aggiornamenti di sistema.

E se usi Motorola e non riesci ancora a ottenere la patch di sicurezza, puoi leggere quanto segue per evitare il rischio di protezione da attacchi,

Cosa posso fare per proteggermi se il mio telefono non ha la patch? Innanzitutto, scarica solo contenuti multimediali (come allegati o qualsiasi cosa che debba essere decodificata per visualizzarli) da persone che conosci e di cui ti fidi. È possibile disabilitare la capacità del telefono di scaricare automaticamente gli MMS. In questo modo puoi scegliere di scaricare solo da fonti attendibili.

• Messaggi: vai su Impostazioni. Deseleziona "Recupero automatico MMS".
• Hangouts (se abilitato per gli SMS; se disattivato, non è necessario agire): vai in Impostazioni> SMS. Deseleziona Recupero automatico MMS.
• Messaggio Verizon +: vai su Impostazioni> Impostazioni avanzate. Deseleziona Recupero automatico. Deseleziona "Abilita anteprima collegamento web".
• Whatsapp Messenger: vai su Impostazioni> Impostazioni chat> Download automatico multimediale. Disattiva tutti i download automatici di video in "Quando si utilizzano i dati mobili", "Se connesso su Wi-Fi" e "Durante il roaming".
• Handcent SMS successivo: vai su Impostazioni> Ricevi impostazioni messaggio. Disabilita il recupero automatico.

Maggiori informazioni su:

Come proteggersi dalla vulnerabilità di stagefright?
Quali sono gli altri vettori di attacco per Stagefright?

L' adware MX Player afferma di riprodurre video senza bug relativi allo stagefright . Devi selezionare tutti i pulsanti in grigio e tutti i pulsanti a quadretti blu mostrati su queste immagini:

Dovrai anche cancellare le impostazioni predefinite di tutte le app di Video Player, quindi selezionare MX Player come app predefinita per il lettore.

Dichiarazione di non responsabilità: questa app è disponibile in due versioni: una gratuita con pubblicità e l'altra "Pro" per 6,10 € . Non sono imparentato con i suoi autori. Non riceverò entrate da questo post. Potrei ottenere solo un certo numero di punti rep.

Grazie a hulkingtickets per l'idea di questa risposta.