Problema de seguridad de Stagefright: ¿qué puede hacer un usuario normal para mitigar el problema sin un parche?

36

Parece haber una vulnerabilidad de seguridad gigante con Android que parece afectar básicamente a todos los teléfonos. PC World escribió:

La gran mayoría de los teléfonos Android pueden ser pirateados enviándoles un mensaje multimedia especialmente diseñado (MMS), según descubrió un investigador de seguridad [Joshua Drake].

...

Drake encontró múltiples vulnerabilidades en un componente principal de Android llamado Stagefright que se usa para procesar, reproducir y grabar archivos multimedia. Algunas de las fallas permiten la ejecución remota de código y pueden activarse al recibir un mensaje MMS, descargar un archivo de video especialmente diseñado a través del navegador o abrir una página web con contenido multimedia incorporado.

...

El vector de ataque MMS es el más aterrador de todos porque no requiere ninguna interacción del usuario; el teléfono solo necesita recibir un mensaje malicioso.

Por ejemplo, el atacante podría enviar el MMS malicioso cuando la víctima está durmiendo y el timbre del teléfono está silenciado, dijo Drake. Después de la explotación, el mensaje se puede eliminar, por lo que la víctima nunca sabrá que su teléfono fue pirateado, dijo.

¿Qué puede hacer un usuario habitual para mitigar el problema? ¿Deshabilitar Hangouts de Google?

Mattm
fuente
Mi mejor conjetura sería: Deshabilitar / eliminar el MMS APN. Los MMS se reciben mediante una conexión de datos regular, pero con un APN especial. Deshabilitar / eliminar estos le impide recibir dichos MMS. (Nota al
margen
1
¿Qué hay de poner en la lista negra números desconocidos y como el usuario @GiantTree sugirió que deshabilitar el MMS es su mejor opción? Debido a que Stagefright ataca su dispositivo móvil justo después de recibir el MMS en su teléfono, ya sea su aplicación de mensajería o la aplicación Hangouts que haya configurado como aplicación predeterminada.
Lucky
2
@Lucky Blacklisting reduciría el alcance, pero no es un enfoque seguro ya que aún eres completamente vulnerable a todos esos números de teléfono en los que confías, y no puedes estar seguro de quién tratará de engañarte por diversión o algo otra razon. Y aunque deshabilitar MMS sería una buena opción, terminamos viendo algunas preguntas (raras) aquí relacionadas con MMS, por lo que todavía nos falta un buen enfoque para usar MMS y aún así permanecer seguros.
Señor del fuego
1
Para aquellos usuarios que están dispuestos a renunciar a MMS como solución alternativa (por ejemplo, yo), sigo pensando que sería valioso proporcionar los pasos para desactivarlo.
Fabio Beltramini
1
Vea este artículo en THN para saber que destruir el APN o asegurar su mensaje de texto no mitigaría el problema.
Señor del fuego

Respuestas:

20

No se trata solo de MMS o navegación web, ya que Stagefright es la biblioteca que ayuda a los teléfonos a desempaquetar mensajes multimedia: vea Medios y este artículo sobre Fortune.

Por lo tanto, se trata de cualquier aplicación (incluido su navegador web) que funcione con multimedia (videoclips y registros de audio). MMS es solo una forma más fácil de explotarlo, porque su teléfono no le preguntará antes de descargarlo.

Es por eso que también debe pensar en todas las demás aplicaciones que funcionan con multimedia y nunca abrir ningún archivo adjunto multimedia antes de que la solución no esté instalada en su teléfono.

Para el navegador web, puede cambiar a Firefox 38 o superior , luego puede continuar abriendo páginas web con contenido de video y / o audio.

Resumir:

  • Deshabilite la recuperación automática de MMS en su aplicación de mensajería (sea lo que sea) ( Guía con imágenes )
  • Cambie a Firefox 38 o posterior (búsquelo en su mercado / tienda de aplicaciones)
  • Cambie a un administrador de sistema de archivos que oculta las miniaturas de video , que es el valor predeterminado para Total commander
  • Cambie a un reproductor de video que sea inmune, por ejemplo, el reproductor MX de reproductor de video (asegúrese de activar su configuración "HW +" para todos los formatos de video ) señalado por hulkingtickets
  • No abra ningún archivo multimedia ni dibuje miniaturas de video en ninguna otra aplicación y, si es posible, bloquee la apertura / descarga automática de todas las aplicaciones. Esto es muy importante . Si su teléfono no está parcheado y usa CUALQUIER aplicación con contenido multimedia, y no hay ninguna opción para bloquear la apertura automática de multimedia en esta aplicación (ejemplo para el navegador: si abre alguna página web aleatoria, su navegador debe precargar videos, si están en esta página web), luego deje de usar esta aplicación y bloquee el acceso a Internet para esta aplicación (si no puede, elimine la aplicación). Si esta aplicación es importante para usted y no puede actualizar el firmware del teléfono o bloquear multimedia en esta aplicación, simplemente deje de usar su teléfono y compre otro , que no es vulnerable.

    Sí, esto significa que, en el peor de los casos, debe cambiar el teléfono. Stagefright es una vulnerabilidad muy grave que afecta a ~ 1 billón de dispositivos, por lo que podría convertirse fácilmente en víctima de un ataque automatizado, que no se hace directamente en su contra, sino que se dirige a los 1 billón de usuarios.

  • Instale actualizaciones, si tiene Cyanogenmod 11 o 12 (corregido el 23.07.2015, vea commits en github )

    EDITAR: las correcciones del 23.07.2015 estaban incompletas, es posible que deba actualizar nuevamente después de la corrección el 13.08.2015

    EDIT 4: las correcciones el 13.08.2015 estaban nuevamente incompletas, debe actualizar una vez más después de las correcciones de Google en octubre de 2015 (denominado Stagefright 2.0). Si tiene Adroid 5.xo 6, es posible que deba actualizar nuevamente después de estas próximas correcciones de Google en noviembre de 2015, ya que existen vulnerabilidades igualmente peligrosas (CVE-2015-6608 y CVE-2015-6609), que probablemente no llamado Stagefright más. Tenga en cuenta que el tiempo de reparación real de su fabricante podría ser posterior o al menos diferente. Por ejemplo, CM11 se actualizó el 11.09.2015 , mientras que CM12.1 se actualizó el 29.09.2015 .

    EDITAR 5: 2 más vulnerabilidades de Stagefright son reportadas por Google el 01.02.2016, sin embargo, "solo" afectan a Adroid 4.4.4 - 6.0.1

  • Espere la actualización de su fabricante

    EDIT2: Similar a Cyanogenmod, una actualización de su fabricante podría no ser suficiente, debido al problema con la corrección de desbordamiento de enteros inicial, que se informó el 12.08.2015: La corrección de desbordamiento de enteros original no es efectiva . Por lo tanto, incluso después de la actualización, se recomienda verificar si su teléfono sigue siendo vulnerable usando la aplicación de Zimperium (buscador del problema Stagefright): aplicación Zimperium Stagefright Detector

  • Si ya tiene root, intente la solución ofrecida por GoOrDie. Consulte también esta guía práctica.

    EDITAR 3. Probé esta solución en Samsung S4 mini, y no funcionó. Así que piénselo dos veces antes de rootear su teléfono.

Andrey Sapegin
fuente
1
¿Por qué es FF más seguro? Preguntado: android.stackexchange.com/questions/120914/…
Clay Nichols
1
Gran respuesta. Gracias. Otra adición: el reproductor de video MX player tiene una configuración que deshabilita el uso de las partes vulnerables de la biblioteca stagefright con aceleración hw, o no usa stagefright en absoluto en el software de aceleración forum.xda-developers.com/apps/mx- jugador / ...
hulkingtickets
9

Para mitigar este ataque, he desactivado los MMS, ya que no los uso de todos modos. Puede hacerlo en el menú Configuración. Seleccione Redes celulares> Nombres de puntos de acceso, seleccione su punto de acceso y elimine "mms" del tipo APN. También eliminé MMSC.

(Haga clic en la imagen para ampliarla; desplace la imagen para conocer las instrucciones)

Orden de instrucciones: siga las imágenes de izquierda a derecha en cada fila

Tenga en cuenta que Android convierte los SMS grupales en MMS, por lo que es posible que también desee deshabilitarlos. Para hacerlo, vaya a la aplicación Mensajería, abra el menú Configuración y desactive la Mensajería grupal y la Recuperación automática.

Luca Invernizzi
fuente
1
¿Su solución aborda la preocupación planteada aquí ?
Señor del fuego
Al no tener una tarjeta SIM con ese operador alemán, no puedo verificar si funciona o no en ese caso. He verificado que no estoy recibiendo ningún MMS con T-mobile en los Estados Unidos. Yo creo que al desactivar la recuperación automática debe ser lo suficientemente bueno (incluso con el portador útiles alemán), pero hasta que se dieron a conocer los detalles del ataque, es difícil de decir.
Luca Invernizzi
1
Edité la respuesta ya que la esencia está en las imágenes y fue un dolor ir a un sitio diferente y desplazarse hacia abajo por grandes imágenes, sin mencionar que tratamos de depender menos de los recursos externos (Imgur es una excepción). Espero que no te importe. :)
Firelord
¡Seguro! Y parece que uno no puede (al menos no puedo) editar el APN en Android 4.2.1, pero puede hacer uno nuevo. Por lo tanto, sería un dolor en los distintos órganos copiar el APN original con los cambios sugeridos.
Señor del fuego
1
La casilla de verificación "mensajes grupales" parece que controla el envío de MMS, no la recepción. Eso no debería ser un riesgo. Pero desactivar la "recuperación automática" parece que evitaría que el teléfono pueda mostrar el contenido de un MMS malicioso. ¿Qué protección adicional proporciona el cambio APN?
Wyzard --Detener Dañar a Mónica--
4

La versión más reciente de Hangouts mitiga este problema, parece que realiza algunas verificaciones adicionales antes de pasar los medios al servicio del sistema. Sin embargo, no soluciona el problema subyacente en el sistema.

También puede deshabilitar la recuperación automática de MMS en Hangouts con su SettingsSMS→ desmarcar Auto retrieve MMSo en Messenger con su SettingsAdvanced→ deshabilitar Auto-retrieveen MMS. Este sitio tiene pasos detallados si los necesita.

Matthew Read
fuente
2
Matthew, a veces una fuente (podría ser un ChangeLog) es realmente útil para creer la afirmación.
Señor del fuego
@Firelord Lamentablemente, el registro de cambios de Hangouts solo dice "correcciones de errores diversos"; Tampoco puedo encontrar una declaración oficial. Realmente solo puede verificar esto mediante la prueba.
Matthew leyó el
3

Este problema también afecta a la navegación web. Intente deshabilitar las media.stagefrightpropiedades relacionadas (si existe) en el build.proparchivo de configuración.

Montar partición raíz como rw y editar build.prop. Establecer media.stagefright.enable-###enfalse

Nota: esto requiere acceso de root .

GoOrDie
fuente
El dispositivo debe estar rooteado, montar la partición raíz como rw y editar la configuración build.prop para falsificar las propiedades de media-stagefright. Esto no es una mitigación confirmada, pero lo hice.
GoOrDie
¿Qué dispositivo y versión de Android estás usando? No tengo esa configuración en mi build.prop.
Señor del fuego
Es un viejo 4.1.2
GoOrDie
Esto es lo que hice. Nadie le dirá que arraigue su teléfono para eso ... Simplemente espere una actualización o más información si puede.
GoOrDie
2

Como MMS (Multi-Media-Messaging) es una de las múltiples formas en que se puede ejecutar este exploit, puede evitarlo desde los exploits MMS. Stagefright por sí solo no es una hazaña. Stagefright es una biblioteca multimedia integrada en el marco de Android.

El exploit se encontró en una herramienta multimedia oculta a nivel de sistema profundo, por lo que casi todas las variantes de Android que tienen la herramienta en su núcleo podrían ser fácilmente identificadas. Según el estudio de Zimperium zLabs, un solo texto multimedia tiene la capacidad de abrir la cámara de su dispositivo y comenzar a grabar video o audio, y también les da a los hackers acceso a todas sus fotos o Bluetooth. Arreglar Stagefright requeriría una actualización completa del sistema (que aún no ha sido publicado por ningún OEM), como exploit está integrado en una herramienta de todo el sistema. Afortunadamente, los desarrolladores de aplicaciones de SMS ya tomaron el problema en sus propias manos y lanzaron soluciones temporales para evitar que Stagefright obtenga acceso automático a la cámara de su dispositivo al detener la ejecución de los mensajes MMS de video a medida que llegan.[Fuente - Titulares de Android]

Puede usar Textra SMS o Chomp SMS de Play Store, que afirma que es capaz de limitar esta vulnerabilidad de Stagefirght . Ambas aplicaciones Textra y Chomp SMS desarrolladas por Delicious Inc. han recibido nuevas actualizaciones que limitan la forma en que los mensajes MMS de video se ejecutan tan pronto como los recibe su dispositivo.

Del artículo de Textra Knowledge Base ,

La explotación de Stagefright puede ocurrir cuando cualquier aplicación de SMS / MMS crea la miniatura del video MMS que se muestra en la burbuja de conversación o notificación o si un usuario presiona el botón de reproducción en el video o lo guarda en la Galería.

Ya hemos proporcionado una solución para 'StageFright' en la versión 3.1 de Textra.

Muy importante: en otras aplicaciones de SMS / MMS, desactivar la recuperación automática NO es suficiente ya que una vez que toca 'descargar', el exploit se activa potencialmente. Además, no obtendría ninguna foto MMS o mensaje grupal. No es una buena solución.

Según el desarrollador de ambas aplicaciones,

El riesgo de que su dispositivo se dirija a esta nueva vulnerabilidad se reduce considerablemente al negarle a los mensajes MMS la capacidad de ejecutarse automáticamente.

¿Cómo puedo protegerme de Stagefright con Textra?

Encienda Stagefright Protectiondebajo de la configuración de su aplicación Textra.

Captura de pantalla_Textra_Stagefright_protection

Captura de pantalla (Haga clic para ampliar la imagen)

Entonces, esto es lo que sucede si activa la Protección Stagefright de la aplicación y si recibe un mensaje de explotación de Stagefright,

  1. Stagefright Protected: como puede ver a continuación, el mensaje no se descargó y la miniatura no se ha resuelto, por lo que si este video tiene un exploit dirigido a Stagefright, aún no podrá ejecutar su código. El mensaje tiene una bonita etiqueta de "Protección de derechos de escenario" debajo.

Captura de pantalla_1

Captura de pantalla (Haga clic para ampliar la imagen)

  1. ¿Qué sucede si hago clic en el mensaje Stagefright Protected? : Cuando presiona el botón Reproducir en el mensaje MMS: un cuadro aún más grande, con un botón de reproducción aún más grande y una etiqueta "Stagefright" aún más grande.

Captura de pantalla_2

Captura de pantalla (Haga clic para ampliar la imagen)

  1. ¿Todavía quieres abrir los medios y ser afectado? : Finalmente, al hacer clic en el botón Reproducir por última vez, aparecerá un buen mensaje de advertencia que le recordará que los videos descargados pueden contener un exploit llamado Stagefright.

( Nota: no hay ningún exploit conocido, y si existiera su nombre no sería Stagefright, ya que Stagefright es simplemente el nombre de la biblioteca multimedia que es vulnerable a ser explotada ).

Captura de pantalla_3

Captura de pantalla (Haga clic para ampliar la imagen)

Presionando el OKAY botón, aparecerá el video que iba a ver, y eso es todo. Si dicho video en realidad contuviera un exploit dirigido a Stagefright, entonces, de hecho, se ejecutaría en este momento.

Fuente : Phandroid

Si tiene curiosidad acerca de si ya está afectado y es víctima del exploit Stagefright, descargue esta aplicación Detector Stagefright de PlayStore, que fue lanzada por zLabs (laboratorios de investigación de Zimperium), que informó por primera vez el problema a Google.

Actualizado: [18-09-2k15]

Motorola lanzó oficialmente un parche de seguridad para el problema de seguridad de Stagefright el 10 de agosto a los operadores para que lo prueben y se lanza al público en función del proveedor del operador. Se menciona en los foros que,

Tan pronto como esté listo un parche, verá una notificación en su teléfono para descargar e instalar la actualización. Recomendamos a todos que verifiquen periódicamente si tienen el software más reciente en Configuración> Acerca del teléfono> Actualizaciones del sistema.

Y si usa Motorola y aún no obtiene el parche de seguridad, puede leer lo siguiente para evitar el riesgo de seguridad de ser atacado,

¿Qué puedo hacer para protegerme si mi teléfono no tiene el parche? Primero, solo descargue contenido multimedia (como archivos adjuntos o cualquier cosa que deba decodificarse para verlo) de personas que conoce y en las que confía. Puede desactivar la capacidad de su teléfono para descargar MMS automáticamente. De esa manera, solo puede elegir descargar de fuentes confiables.

  • Mensajería: vaya a Configuración. Desmarque "Recuperar automáticamente MMS".
  • Hangouts (si está habilitado para SMS; si está atenuado, no es necesario tomar medidas): vaya a Configuración> SMS. Desmarque la recuperación automática de MMS.
  • Verizon Message +: ve a Configuración> Configuración avanzada. Desmarca Recuperación automática. Desmarque "Habilitar vista previa de enlace web".
  • Whatsapp Messenger: vaya a Configuración> Configuración de chat> Descarga automática de medios. Deshabilite todas las descargas automáticas de video en "Cuando use datos móviles", "Cuando esté conectado por Wi-Fi" y "Cuando esté en roaming".
  • Handcent Next SMS: vaya a configuración> Recibir configuración de mensajes. Deshabilitar recuperación automática.

Leer más en:

¿Cómo protegerse de la vulnerabilidad de StageFright?
¿Cuáles son los otros vectores de ataque para Stagefright?

Suerte
fuente
1
¡Sí claro! Como se dijo en la publicación, StageFright es un exploit y no solo se puede activar desde MMS, sino que también usa cualquier cosa que use el Marco de medios central de Android que tiene esta vulnerabilidad. Por lo tanto, mi respuesta solo es específica para la explotación de mensajes MMS. Pero también hay muchas otras posibilidades. A menos que los OEM de Mobile tomen este problema en serio y publiquen una actualización para todos los teléfonos Android, es como si todos los teléfonos fueran vulnerables.
Afortunado el
"no hay ningún exploit conocido, y si existiera su nombre no sería Stagefright, ya que Stagefright es simplemente el nombre de la biblioteca multimedia que es vulnerable a ser explotada": ahora están mal en ambas cuentas: PhK vincula un exploit para un bug CBS llamado stagefright
user2987828
2

El reproductor MX ad-ware afirma que reproduce videos sin errores relacionados con Stagefright . Debe seleccionar todos los botones en gris y todos los botones marcados en azul que se muestran en estas imágenes:

abre MX Player, abre su configuración seleccione la configuración del decodificador activar decodificadores HW + (no el HW) y luego ingresar códecs y activar todos los códecs

También deberá borrar los valores predeterminados de todas las aplicaciones del Reproductor de video, luego seleccionar MX Player como la aplicación predeterminada del Reproductor.

Descargo de responsabilidad: esta aplicación viene en dos versiones: una gratuita con anuncios y la otra "Pro" por 6,10 € . No estoy relacionado con sus autores. No obtendré ingresos de esta publicación. Solo puedo obtener una cierta cantidad de puntos de repetición.

Gracias a Hulkingtickets por la idea de esta misma respuesta.

usuario2987828
fuente