Stagefright-Sicherheitsproblem: Was kann ein normaler Benutzer tun, um das Problem ohne Patch zu beheben?

Es scheint eine riesige Sicherheitslücke mit Android zu geben, die anscheinend alle Handys betrifft. PC World schrieb:

Die überwiegende Mehrheit der Android-Telefone kann gehackt werden, indem ihnen eine speziell gestaltete Multimedia-Nachricht (MMS) gesendet wird, wie ein Sicherheitsforscher [Joshua Drake] herausgefunden hat.

...

Drake hat mehrere Sicherheitslücken in einer zentralen Android-Komponente namens Stagefright gefunden, die zum Verarbeiten, Abspielen und Aufzeichnen von Multimediadateien verwendet wird. Einige der Fehler ermöglichen die Codeausführung per Fernzugriff und können ausgelöst werden, wenn eine MMS-Nachricht empfangen, eine speziell gestaltete Videodatei über den Browser heruntergeladen oder eine Webseite mit eingebettetem Multimedia-Inhalt geöffnet wird.

...

Der MMS-Angriffsvektor ist der gruseligste von allen, da keine Interaktion durch den Benutzer erforderlich ist. Das Telefon muss nur eine schädliche Nachricht erhalten.

Zum Beispiel könnte der Angreifer die böswillige MMS senden, wenn das Opfer schläft und der Klingelton des Telefons zum Schweigen gebracht wird, sagte Drake. Nach dem Ausnutzen kann die Nachricht gelöscht werden, so dass das Opfer nie erfahren wird, dass sein Telefon gehackt wurde, sagte er.

Was kann ein normaler Benutzer tun, um das Problem zu beheben? Google Hangouts deaktivieren?

Hier geht es nicht nur um MMS oder Surfen im Internet, da Stagefright die Bibliothek ist, mit der Telefone Multimedianachrichten entpacken können: siehe Medien und diesen Artikel über Fortune.

Es geht also um jede Anwendung (einschließlich Ihres Webbrowsers), die mit Multimedia (Videoclips und Audioaufzeichnungen) arbeitet. MMS ist nur eine einfache Möglichkeit, es auszunutzen, da Sie Ihr Telefon vor dem Herunterladen nicht danach fragt.

Aus diesem Grund müssen Sie auch an alle anderen Anwendungen denken, die mit Multimedia arbeiten, und niemals Multimedia-Anhänge öffnen, bevor das Update nicht auf Ihrem Telefon installiert ist.

Für den Webbrowser können Sie zu Firefox 38 oder höher wechseln und Webseiten mit Video- und / oder Audioinhalten öffnen.

Zusammenfassen:

• Deaktivieren Sie das automatische Abrufen von MMS in Ihrer Messaging-App (was auch immer es ist) ( Anleitung mit Bildern )
• Wechseln Sie zu Firefox 38 oder neuer (finden Sie es in Ihrem Market / App Store)
• Wechseln Sie zu einem Dateisystem-Manager, der Video-Miniaturansichten verbirgt. Dies ist die Standardeinstellung für Total Commander
• Wechseln Sie zu einem Videoplayer, der immun ist, z. B. der Videoplayer MX-Player (stellen Sie sicher, dass die Einstellung "HW +" für alle Videoformate aktiviert ist ), auf die durch Hulkingtickets hingewiesen wird

• Öffnen Sie keine Multimediadateien und zeichnen Sie keine Video-Thumbnails in anderen Anwendungen und blockieren Sie nach Möglichkeit das automatische Öffnen / Herunterladen in allen Apps. Das ist sehr wichtig . Wenn Ihr Telefon nicht gepatcht ist und Sie eine beliebige App mit Multimedia-Inhalten verwenden und in dieser App keine Option zum Blockieren des automatischen Öffnens von Multimedia-Inhalten besteht (Beispiel für einen Browser: Wenn Sie eine zufällige Webseite öffnen, sollte Ihr Browser Videos vorladen, sofern diese vorhanden sind sind auf dieser Webseite), beenden Sie die Verwendung dieser App und blockieren Sie den Internetzugang für diese App (falls nicht - löschen Sie die App). Wenn Ihnen diese App wichtig ist und Sie in dieser App weder die Firmware des Telefons aktualisieren noch Multimedia-Inhalte blockieren können, beenden Sie einfach die Verwendung Ihres Telefons und kaufen Sie eine andere , nicht anfällige App .

  Ja, dies bedeutet, dass Sie im schlimmsten Fall das Telefon wechseln müssen. Stagefright ist eine sehr schwerwiegende Sicherheitsanfälligkeit, die ~ 1 Milliarde Geräte betrifft. Sie können daher leicht Opfer eines automatisierten Angriffs werden, der nicht direkt gegen Sie gerichtet ist, sondern sich an alle 1 Milliarde Benutzer richtet.

• Installiere Updates, wenn du Cyanogenmod 11 oder 12 hast (behoben am 23.07.2015, siehe Commits auf Github )

  BEARBEITEN: Die Korrekturen vom 23.07.2015 waren unvollständig. Möglicherweise müssen Sie sie nach der Korrektur vom 13.08.2015 erneut aktualisieren

  EDIT 4: Fixes am 13.08.2015 waren wieder unvollständig, nach Fixes von Google im Oktober 2015 müssen Sie noch einmal updaten (sog. Stagefright 2.0). Wenn Sie über Adroid 5.x oder 6 verfügen, müssen Sie möglicherweise nach diesen nächsten Korrekturen von Google im November 2015 erneut ein Update durchführen , da es ähnlich gefährliche Sicherheitsanfälligkeiten gibt (CVE-2015-6608 und CVE-2015-6609), die wahrscheinlich nicht vorliegen Stagefright genannt mehr. Bitte beachten Sie, dass der Zeitpunkt der tatsächlichen Reparatur durch Ihren Hersteller später oder zumindest anders liegen kann. ZB wurde CM11 am 09.11.2015 aktualisiert , während CM12.1 am 29.09.2015 aktualisiert wurde .

  EDIT 5: 2 weitere Stagefright-Schwachstellen werden von Google am 01.02.2016 gemeldet, betreffen jedoch "nur" Adroid 4.4.4 - 6.0.1

• Warten Sie auf ein Update Ihres Herstellers

  EDIT2: Ähnlich wie bei Cyanogenmod könnte ein Update Ihres Herstellers nicht ausreichen, da am 12.08.2015 ein Problem mit dem anfänglichen Integer-Überlauf-Fix gemeldet wurde: Der ursprüngliche Integer-Überlauf-Fix ist ineffektiv . Es wird daher empfohlen, auch nach dem Update mit der App von Zimperium (Finder der Stagefright-Ausgabe) zu überprüfen, ob Ihr Telefon immer noch anfällig ist: Zimperium Stagefright Detector App

• Wenn Sie bereits über root verfügen, versuchen Sie es mit dem von GoOrDie angebotenen Fix. Siehe auch diese Anleitung.

  BEARBEITEN 3. Ich habe versucht, dieses Update auf Samsung S4 Mini, und es hat nicht funktioniert. Überlegen Sie es sich also zweimal, bevor Sie Ihr Telefon rooten.

Um diesen Angriff abzuschwächen, habe ich MMS deaktiviert, da ich sie sowieso nicht verwende. Das können Sie im Menü Einstellungen tun. Wählen Sie Mobilfunknetze> Zugangspunkte, wählen Sie Ihren Zugangspunkt und entfernen Sie "mms" vom APN-Typ. Ich habe auch MMSC gelöscht.

_{(Klicken Sie auf das Bild, um es zu vergrößern. Bewegen Sie den Mauszeiger über das Bild, um die Anleitung zu lesen.)}

_{Reihenfolge der Anweisungen: Folgen Sie den Bildern in jeder Zeile von links nach rechts}

Beachten Sie, dass Android Gruppen-SMS in MMS konvertiert. Sie können dies auch deaktivieren. Rufen Sie dazu die Messaging-App auf, öffnen Sie das Menü Einstellungen und deaktivieren Sie Group Messaging und Auto-Retrieve.

Die neueste Version von Hangouts behebt dieses Problem. Offenbar werden zusätzliche Überprüfungen durchgeführt, bevor die Medien an den Systemdienst weitergeleitet werden. Es behebt jedoch nicht das zugrunde liegende Problem im System.

Sie können auch deaktivieren MMS automatisch abgerufen werden in Hangout über seine Settings→ SMS→ deaktivieren Auto retrieve MMSoder in Messenger über seine Settings→ Advanced→ disable Auto-retrieveunter MMS. Diese Site enthält detaillierte Schritte, wenn Sie sie benötigen.

Dieses Problem betrifft auch das Surfen im Internet. Deaktivieren Sie media.stagefrightggf. zugehörige Eigenschaften in der build.propKonfigurationsdatei.

Mounten Sie die Root-Partition als rwund bearbeiten Sie sie build.prop. Stellen Sie media.stagefright.enable-###auffalse

Hinweis: Dies erfordert Root-Zugriff .

Zimperium, das Unternehmen, das die Sicherheitsanfälligkeit gemeldet hat, hat zusätzliche Informationen zu den Sicherheitsanfälligkeiten in Bezug auf Stagefright veröffentlicht. . Im Google Play Store gibt es eine Anwendung, die erkennt, ob die Sicherheitsanfälligkeit auf Ihrem Gerät vorliegt. Anscheinend hat Samsung auch eine App veröffentlicht, die MMS auf Samsung-Geräten deaktiviert, obwohl diese nicht im Play Store verfügbar ist.

Da MMS (Multi-Media-Messaging) eine von mehreren Möglichkeiten ist, wie dieser Exploit ausgeführt werden kann, können Sie dies für MMS-Exploits verhindern. Stagefright allein ist kein Exploit. Stagefright ist eine Multimedia-Bibliothek, die in das Android-Framework integriert ist.

Der Exploit wurde in einem Multimedia-Tool gefunden, das auf Systemebene verborgen ist, sodass fast alle Android-Varianten, bei denen das Tool im Mittelpunkt steht, problemlos angesprochen werden können. Laut der Studie von Zimperium zLabs kann mit einem einzigen Multimedia-Text die Kamera Ihres Geräts geöffnet und mit der Aufnahme von Video oder Audio begonnen werden. Außerdem können Hacker auf alle Ihre Fotos oder Bluetooth zugreifen. Das Beheben von Stagefright würde ein vollständiges Systemupdate erfordern (von dem noch nicht berichtet wurde, dass es von einem OEM veröffentlicht wurde), da der Exploit in ein systemweites Tool eingebettet ist. Glücklicherweise haben die Entwickler von SMS-Apps das Problem bereits selbst in die Hand genommen und vorübergehende Korrekturen veröffentlicht, um zu verhindern, dass Stagefright automatisch auf die Kamera Ihres Geräts zugreift, indem sie verhindern, dass Video-MMS-Nachrichten bei ihrem Eintreffen ausgeführt werden.[Quelle - Android-Schlagzeilen]

Sie könnten Textra SMS oder Chomp SMS aus dem Play Store verwenden, die behaupten, dass es in der Lage ist , diesen Stagefirght-Exploit einzuschränken . Beide Apps, Textra und Chomp SMS, die von Delicious Inc. entwickelt wurden, haben brandneue Updates erhalten, die die Ausführung von Video-MMS-Nachrichten einschränken, sobald sie von Ihrem Gerät empfangen werden.

Aus dem Textra Knowledge Base- Artikel

Der Stagefright-Exploit kann auftreten, wenn eine SMS / MMS-App die MMS-Video-Miniaturansicht erstellt, die in der Konversationsblase oder -benachrichtigung angezeigt wird, oder wenn ein Benutzer die Wiedergabetaste im Video drückt oder in der Galerie speichert.

Wir haben eine Lösung für 'StageFright' in Release 3.1 von Textra herausgebracht.

Sehr wichtig: In anderen SMS / MMS-Apps reicht es NICHT aus , den automatischen Abruf zu deaktivieren , da der Exploit möglicherweise aktiv wird, sobald Sie auf "Herunterladen" tippen. Außerdem würden Sie keine MMS-Bilder oder Gruppennachrichten erhalten. Keine gute Lösung.

Nach Angaben des Entwicklers beider Apps

Das Risiko, dass Ihr Gerät auf diesen neuen Exploit abzielt, wird erheblich verringert, indem die automatische Ausführung von MMS-Nachrichten verweigert wird.

Wie kann ich mit Textra vor Stagefright schützen?

Schalten Sie das Stagefright Protectionunter Ihren Textra App Einstellungen ein.

_{Screenshot (Klicken zum Vergrößern)}

Folgendes passiert also, wenn Sie den Stagefright-Schutz der App aktivieren und eine Stagefright-Exploit-Nachricht erhalten:

1. Stagefright-geschützt: Wie Sie unten sehen können, wurde die Nachricht nicht heruntergeladen und die Miniaturansicht wurde nicht aufgelöst. Wenn dieses Video also auf Stagefright abzielt, kann es den Code noch nicht ausführen. Unter der Nachricht befindet sich ein hübsches Etikett mit der Aufschrift „Stagefright Protection“.

_{Screenshot (Klicken zum Vergrößern)}

2. Was passiert, wenn ich auf die Nachricht Stagefright Protected klicke? : Wenn Sie die Wiedergabetaste in der MMS-Nachricht drücken: eine noch größere Box mit einer noch größeren Wiedergabetaste und einem noch größeren „Stagefright“ -Label.

_{Screenshot (Klicken zum Vergrößern)}

3. Möchten Sie immer noch die Medien öffnen und davon betroffen sein? : Wenn Sie ein letztes Mal auf die Wiedergabetaste klicken, wird eine nette Warnmeldung angezeigt, die Sie daran erinnert, dass heruntergeladene Videos möglicherweise einen Exploit namens Stagefright enthalten.

( Hinweis: Es ist kein Exploit bekannt, und wenn es keinen Namen für Stagefright geben würde, ist Stagefright einfach der Name der Multimedia-Bibliothek, die für die Ausnutzung anfällig ist. )

_{Screenshot (Klicken zum Vergrößern)}

Durch Drücken der OKAYTaste wird das gewünschte Video angezeigt. Wenn das Video tatsächlich einen Exploit enthält, der Stagefright zum Ziel hat, wird es in der Tat in diesem Moment ausgeführt.

Quelle: Phandroid

Wenn Sie neugierig sind, ob Sie bereits betroffen und Opfer eines Stagefright-Exploits sind, laden Sie diese App Stagefright Detector aus dem PlayStore herunter, der von zLabs (Zimperium Research Labs) veröffentlicht wurde, das das Problem zuerst an Google gemeldet hat.

Aktualisiert: [18-09-2k15]

Motorola hat am 10. August offiziell einen Sicherheitspatch für das Stagefright-Sicherheitsproblem für die Netzbetreiber zum Testen veröffentlicht. Die Veröffentlichung erfolgt auf der Grundlage des Netzbetreiberanbieters. In den Foren wird erwähnt, dass

Sobald ein Patch verfügbar ist, wird auf Ihrem Telefon eine Benachrichtigung angezeigt, mit der Sie das Update herunterladen und installieren können. Wir empfehlen jedem, regelmäßig zu überprüfen, ob er über die neueste Software verfügt, indem Sie Einstellungen> Über das Telefon> Systemaktualisierungen auswählen.

Und wenn Sie Motorola verwenden und den Sicherheitspatch immer noch nicht erhalten, können Sie Folgendes lesen, um das Sicherheitsrisiko eines Angriffs zu vermeiden:

Was kann ich tun, um mich zu schützen, wenn mein Telefon nicht über den Patch verfügt? Laden Sie zunächst nur Multimedia-Inhalte (wie Anhänge oder alles, was dekodiert werden muss, um sie anzuzeigen) von Personen herunter, die Sie kennen und denen Sie vertrauen. Sie können die Fähigkeit Ihres Telefons deaktivieren, MMS automatisch herunterzuladen. Auf diese Weise können Sie nur Downloads von vertrauenswürdigen Quellen auswählen.

• Messaging: Gehen Sie zu Einstellungen. Deaktivieren Sie "MMS automatisch abrufen".
• Hangouts (falls für SMS aktiviert; falls ausgegraut, müssen keine Maßnahmen ergriffen werden): Gehen Sie zu Einstellungen> SMS. Deaktivieren Sie das Kontrollkästchen MMS automatisch abrufen.
• Verizon Message +: Gehen Sie zu Einstellungen> Erweiterte Einstellungen. Deaktivieren Sie die Option Automatisch abrufen. Deaktivieren Sie "Weblink-Vorschau aktivieren".
• WhatsApp Messenger: Gehen Sie zu Einstellungen> Chat-Einstellungen> Automatischer Download von Medien. Deaktivieren Sie alle automatischen Video-Downloads unter "Bei Verwendung mobiler Daten", "Bei Wi-Fi-Verbindung" und "Beim Roaming".
• Handcent Nächste SMS: Gehen Sie zu Einstellungen> Nachrichteneinstellungen empfangen. Deaktivieren Sie das automatische Abrufen.

Lesen Sie mehr über:

Wie kann man sich vor Anfälligkeit für Lampenfieber schützen?
Was sind die anderen Angriffsvektoren für Stagefright?

Der AdWare- MX-Player behauptet, Videos ohne Stagefright-bezogene Bugs abzuspielen . Sie müssen alle abgeblendeten und blau markierten Schaltflächen auf diesen Bildern auswählen:

Sie müssen auch die Standardeinstellungen aller Video Player-Apps löschen und dann MX Player als Standard-Player-App auswählen.

Haftungsausschluss: Diese App gibt es in zwei Versionen: eine kostenlos mit Werbung und die andere "Pro" für 6,10 € . Ich bin nicht mit den Autoren verwandt. Ich werde keine Einnahmen aus diesem Beitrag erhalten. Ich bekomme möglicherweise nur eine bestimmte Anzahl von Wiederholungspunkten.

Vielen Dank an hulkingtickets für die Idee genau dieser Antwort.