Es scheint eine riesige Sicherheitslücke mit Android zu geben, die anscheinend alle Handys betrifft. PC World schrieb:
Die überwiegende Mehrheit der Android-Telefone kann gehackt werden, indem ihnen eine speziell gestaltete Multimedia-Nachricht (MMS) gesendet wird, wie ein Sicherheitsforscher [Joshua Drake] herausgefunden hat.
...
Drake hat mehrere Sicherheitslücken in einer zentralen Android-Komponente namens Stagefright gefunden, die zum Verarbeiten, Abspielen und Aufzeichnen von Multimediadateien verwendet wird. Einige der Fehler ermöglichen die Codeausführung per Fernzugriff und können ausgelöst werden, wenn eine MMS-Nachricht empfangen, eine speziell gestaltete Videodatei über den Browser heruntergeladen oder eine Webseite mit eingebettetem Multimedia-Inhalt geöffnet wird.
...
Der MMS-Angriffsvektor ist der gruseligste von allen, da keine Interaktion durch den Benutzer erforderlich ist. Das Telefon muss nur eine schädliche Nachricht erhalten.
Zum Beispiel könnte der Angreifer die böswillige MMS senden, wenn das Opfer schläft und der Klingelton des Telefons zum Schweigen gebracht wird, sagte Drake. Nach dem Ausnutzen kann die Nachricht gelöscht werden, so dass das Opfer nie erfahren wird, dass sein Telefon gehackt wurde, sagte er.
Was kann ein normaler Benutzer tun, um das Problem zu beheben? Google Hangouts deaktivieren?
Antworten:
Hier geht es nicht nur um MMS oder Surfen im Internet, da Stagefright die Bibliothek ist, mit der Telefone Multimedianachrichten entpacken können: siehe Medien und diesen Artikel über Fortune.
Es geht also um jede Anwendung (einschließlich Ihres Webbrowsers), die mit Multimedia (Videoclips und Audioaufzeichnungen) arbeitet. MMS ist nur eine einfache Möglichkeit, es auszunutzen, da Sie Ihr Telefon vor dem Herunterladen nicht danach fragt.
Aus diesem Grund müssen Sie auch an alle anderen Anwendungen denken, die mit Multimedia arbeiten, und niemals Multimedia-Anhänge öffnen, bevor das Update nicht auf Ihrem Telefon installiert ist.
Für den Webbrowser können Sie zu Firefox 38 oder höher wechseln und Webseiten mit Video- und / oder Audioinhalten öffnen.
Zusammenfassen:
Öffnen Sie keine Multimediadateien und zeichnen Sie keine Video-Thumbnails in anderen Anwendungen und blockieren Sie nach Möglichkeit das automatische Öffnen / Herunterladen in allen Apps. Das ist sehr wichtig . Wenn Ihr Telefon nicht gepatcht ist und Sie eine beliebige App mit Multimedia-Inhalten verwenden und in dieser App keine Option zum Blockieren des automatischen Öffnens von Multimedia-Inhalten besteht (Beispiel für einen Browser: Wenn Sie eine zufällige Webseite öffnen, sollte Ihr Browser Videos vorladen, sofern diese vorhanden sind sind auf dieser Webseite), beenden Sie die Verwendung dieser App und blockieren Sie den Internetzugang für diese App (falls nicht - löschen Sie die App). Wenn Ihnen diese App wichtig ist und Sie in dieser App weder die Firmware des Telefons aktualisieren noch Multimedia-Inhalte blockieren können, beenden Sie einfach die Verwendung Ihres Telefons und kaufen Sie eine andere , nicht anfällige App .
Ja, dies bedeutet, dass Sie im schlimmsten Fall das Telefon wechseln müssen. Stagefright ist eine sehr schwerwiegende Sicherheitsanfälligkeit, die ~ 1 Milliarde Geräte betrifft. Sie können daher leicht Opfer eines automatisierten Angriffs werden, der nicht direkt gegen Sie gerichtet ist, sondern sich an alle 1 Milliarde Benutzer richtet.
Installiere Updates, wenn du Cyanogenmod 11 oder 12 hast (behoben am 23.07.2015, siehe Commits auf Github )
BEARBEITEN: Die Korrekturen vom 23.07.2015 waren unvollständig. Möglicherweise müssen Sie sie nach der Korrektur vom 13.08.2015 erneut aktualisieren
EDIT 4: Fixes am 13.08.2015 waren wieder unvollständig, nach Fixes von Google im Oktober 2015 müssen Sie noch einmal updaten (sog. Stagefright 2.0). Wenn Sie über Adroid 5.x oder 6 verfügen, müssen Sie möglicherweise nach diesen nächsten Korrekturen von Google im November 2015 erneut ein Update durchführen , da es ähnlich gefährliche Sicherheitsanfälligkeiten gibt (CVE-2015-6608 und CVE-2015-6609), die wahrscheinlich nicht vorliegen Stagefright genannt mehr. Bitte beachten Sie, dass der Zeitpunkt der tatsächlichen Reparatur durch Ihren Hersteller später oder zumindest anders liegen kann. ZB wurde CM11 am 09.11.2015 aktualisiert , während CM12.1 am 29.09.2015 aktualisiert wurde .
EDIT 5: 2 weitere Stagefright-Schwachstellen werden von Google am 01.02.2016 gemeldet, betreffen jedoch "nur" Adroid 4.4.4 - 6.0.1
Warten Sie auf ein Update Ihres Herstellers
EDIT2: Ähnlich wie bei Cyanogenmod könnte ein Update Ihres Herstellers nicht ausreichen, da am 12.08.2015 ein Problem mit dem anfänglichen Integer-Überlauf-Fix gemeldet wurde: Der ursprüngliche Integer-Überlauf-Fix ist ineffektiv . Es wird daher empfohlen, auch nach dem Update mit der App von Zimperium (Finder der Stagefright-Ausgabe) zu überprüfen, ob Ihr Telefon immer noch anfällig ist: Zimperium Stagefright Detector App
Wenn Sie bereits über root verfügen, versuchen Sie es mit dem von GoOrDie angebotenen Fix. Siehe auch diese Anleitung.
BEARBEITEN 3. Ich habe versucht, dieses Update auf Samsung S4 Mini, und es hat nicht funktioniert. Überlegen Sie es sich also zweimal, bevor Sie Ihr Telefon rooten.
quelle
Um diesen Angriff abzuschwächen, habe ich MMS deaktiviert, da ich sie sowieso nicht verwende. Das können Sie im Menü Einstellungen tun. Wählen Sie Mobilfunknetze> Zugangspunkte, wählen Sie Ihren Zugangspunkt und entfernen Sie "mms" vom APN-Typ. Ich habe auch MMSC gelöscht.
(Klicken Sie auf das Bild, um es zu vergrößern. Bewegen Sie den Mauszeiger über das Bild, um die Anleitung zu lesen.)
Reihenfolge der Anweisungen: Folgen Sie den Bildern in jeder Zeile von links nach rechts
Beachten Sie, dass Android Gruppen-SMS in MMS konvertiert. Sie können dies auch deaktivieren. Rufen Sie dazu die Messaging-App auf, öffnen Sie das Menü Einstellungen und deaktivieren Sie Group Messaging und Auto-Retrieve.
quelle
Die neueste Version von Hangouts behebt dieses Problem. Offenbar werden zusätzliche Überprüfungen durchgeführt, bevor die Medien an den Systemdienst weitergeleitet werden. Es behebt jedoch nicht das zugrunde liegende Problem im System.
Sie können auch deaktivieren MMS automatisch abgerufen werden in Hangout über seine
Settings
→SMS
→ deaktivierenAuto retrieve MMS
oder in Messenger über seineSettings
→Advanced
→ disableAuto-retrieve
unterMMS
. Diese Site enthält detaillierte Schritte, wenn Sie sie benötigen.quelle
Dieses Problem betrifft auch das Surfen im Internet. Deaktivieren Sie
media.stagefright
ggf. zugehörige Eigenschaften in derbuild.prop
Konfigurationsdatei.Mounten Sie die Root-Partition als
rw
und bearbeiten Sie siebuild.prop
. Stellen Siemedia.stagefright.enable-###
auffalse
Hinweis: Dies erfordert Root-Zugriff .
quelle
build.prop
.Zimperium, das Unternehmen, das die Sicherheitsanfälligkeit gemeldet hat, hat zusätzliche Informationen zu den Sicherheitsanfälligkeiten in Bezug auf Stagefright veröffentlicht. . Im Google Play Store gibt es eine Anwendung, die erkennt, ob die Sicherheitsanfälligkeit auf Ihrem Gerät vorliegt. Anscheinend hat Samsung auch eine App veröffentlicht, die MMS auf Samsung-Geräten deaktiviert, obwohl diese nicht im Play Store verfügbar ist.
quelle
Da MMS (Multi-Media-Messaging) eine von mehreren Möglichkeiten ist, wie dieser Exploit ausgeführt werden kann, können Sie dies für MMS-Exploits verhindern. Stagefright allein ist kein Exploit. Stagefright ist eine Multimedia-Bibliothek, die in das Android-Framework integriert ist.
Sie könnten Textra SMS oder Chomp SMS aus dem Play Store verwenden, die behaupten, dass es in der Lage ist , diesen Stagefirght-Exploit einzuschränken . Beide Apps, Textra und Chomp SMS, die von Delicious Inc. entwickelt wurden, haben brandneue Updates erhalten, die die Ausführung von Video-MMS-Nachrichten einschränken, sobald sie von Ihrem Gerät empfangen werden.
Aus dem Textra Knowledge Base- Artikel
Nach Angaben des Entwicklers beider Apps
Wie kann ich mit Textra vor Stagefright schützen?
Schalten Sie das
Stagefright Protection
unter Ihren Textra App Einstellungen ein.Screenshot (Klicken zum Vergrößern)
Folgendes passiert also, wenn Sie den Stagefright-Schutz der App aktivieren und eine Stagefright-Exploit-Nachricht erhalten:
Screenshot (Klicken zum Vergrößern)
Screenshot (Klicken zum Vergrößern)
( Hinweis: Es ist kein Exploit bekannt, und wenn es keinen Namen für Stagefright geben würde, ist Stagefright einfach der Name der Multimedia-Bibliothek, die für die Ausnutzung anfällig ist. )
Screenshot (Klicken zum Vergrößern)
Durch Drücken der
OKAY
Taste wird das gewünschte Video angezeigt. Wenn das Video tatsächlich einen Exploit enthält, der Stagefright zum Ziel hat, wird es in der Tat in diesem Moment ausgeführt.Quelle: Phandroid
Wenn Sie neugierig sind, ob Sie bereits betroffen und Opfer eines Stagefright-Exploits sind, laden Sie diese App Stagefright Detector aus dem PlayStore herunter, der von zLabs (Zimperium Research Labs) veröffentlicht wurde, das das Problem zuerst an Google gemeldet hat.
Aktualisiert: [18-09-2k15]
Motorola hat am 10. August offiziell einen Sicherheitspatch für das Stagefright-Sicherheitsproblem für die Netzbetreiber zum Testen veröffentlicht. Die Veröffentlichung erfolgt auf der Grundlage des Netzbetreiberanbieters. In den Foren wird erwähnt, dass
Und wenn Sie Motorola verwenden und den Sicherheitspatch immer noch nicht erhalten, können Sie Folgendes lesen, um das Sicherheitsrisiko eines Angriffs zu vermeiden:
Lesen Sie mehr über:
Wie kann man sich vor Anfälligkeit für Lampenfieber schützen?
Was sind die anderen Angriffsvektoren für Stagefright?
quelle
Der AdWare- MX-Player behauptet, Videos ohne Stagefright-bezogene Bugs abzuspielen . Sie müssen alle abgeblendeten und blau markierten Schaltflächen auf diesen Bildern auswählen:
Sie müssen auch die Standardeinstellungen aller Video Player-Apps löschen und dann MX Player als Standard-Player-App auswählen.
Haftungsausschluss: Diese App gibt es in zwei Versionen: eine kostenlos mit Werbung und die andere "Pro" für 6,10 € . Ich bin nicht mit den Autoren verwandt. Ich werde keine Einnahmen aus diesem Beitrag erhalten. Ich bekomme möglicherweise nur eine bestimmte Anzahl von Wiederholungspunkten.
Vielen Dank an hulkingtickets für die Idee genau dieser Antwort.
quelle