Problème de sécurité Stagefright: que peut faire un utilisateur régulier pour atténuer le problème sans correctif?

36

Il semble exister une faille de sécurité avec Android qui semble toucher fondamentalement tous les téléphones. PC World a écrit:

La grande majorité des téléphones Android peuvent être piratés en leur envoyant un message multimédia spécialement conçu, a découvert un chercheur en sécurité [Joshua Drake].

...

Drake a découvert plusieurs vulnérabilités dans un composant Android principal appelé Stagefright, utilisé pour traiter, lire et enregistrer des fichiers multimédia. Certaines des failles permettent l'exécution de code à distance et peuvent être déclenchées lors de la réception d'un message MMS, du téléchargement d'un fichier vidéo spécialement conçu via le navigateur ou de l'ouverture d'une page Web avec un contenu multimédia intégré.

...

Le vecteur d’attaque MMS est le plus effrayant de tous car il ne nécessite aucune interaction de la part de l’utilisateur; le téléphone a juste besoin de recevoir un message malveillant.

Par exemple, l'attaquant pourrait envoyer un MMS malveillant lorsque la victime dort et que la sonnerie du téléphone est désactivée, a déclaré Drake. Après exploitation, le message peut être supprimé, ainsi la victime ne saura même jamais que son téléphone a été piraté, a-t-il déclaré.

Que peut faire un utilisateur régulier pour atténuer le problème? Désactiver Google Hangouts?

mat
la source
Ma meilleure hypothèse serait: Désactiver / supprimer l'APN MMS. Les MMS sont reçus via une connexion de données régulière, mais avec un APN spécial. En les désactivant / les supprimant, vous ne pouvez plus recevoir de MMS. (Remarque: je pense que plus personne n'utilise le MMS, vous pouvez donc désactiver / supprimer l'APN en toute sécurité)
GiantTree
1
Que diriez-vous de la liste noire des numéros inconnus et en tant qu'utilisateur @GiantTree a suggéré de désactiver le MMS est votre meilleur choix. Parce que le Stagefright vous attaque sur votre mobile juste après avoir reçu le MMS sur votre téléphone, que ce soit dans votre application de messagerie ou dans votre Hangouts, que vous ayez déjà configuré comme application par défaut.
Chanceux
2
@Lucky Blacklisting réduirait la portée, mais ce n'est pas une approche sûre, car vous êtes toujours complètement vulnérable à tous les numéros de téléphone en lesquels vous avez confiance, et vous ne savez pas avec certitude qui essaierait de vous jouer un tour pour le plaisir ou pour d'autres. autre raison. Et bien que désactiver le MMS soit une bonne option, nous avons fini par voir quelques questions (rares) concernant le MMS. Il nous manque donc encore une bonne approche pour utiliser le MMS tout en restant sûrs.
Seigneur du Feu
1
Pour les utilisateurs qui souhaitent abandonner le MMS en guise de solution de contournement (par exemple, moi), je pense toujours qu'il serait utile de fournir les étapes pour le désactiver.
Fabio Beltramini
1
Consultez cet article sur THN pour savoir que la destruction de l’APN ou la sécurisation de votre messagerie texte n’atténuerait pas le problème.
Firelord

Réponses:

20

Il ne s’agit pas seulement de MMS ou de la navigation sur le Web, puisque Stagefright est la bibliothèque qui aide les téléphones à décompresser les messages multimédias: voir Médias et cet article sur Fortune.

Il s’agit donc de toute application (y compris votre navigateur Web) qui fonctionne avec le multimédia (clips vidéo et enregistrements audio). Le MMS est simplement le moyen le plus simple de l'exploiter, car votre téléphone ne vous le demandera pas avant de le télécharger.

C'est pourquoi vous devez également penser à toutes les autres applications fonctionnant avec le multimédia et ne jamais ouvrir de pièce jointe multimédia avant que le correctif ne soit installé sur votre téléphone.

Pour le navigateur Web, vous pouvez passer à Firefox 38 ou version ultérieure , puis continuer à ouvrir des pages Web avec du contenu vidéo et / ou audio.

Pour résumer:

  • Désactiver la retransmission automatique des MMS dans votre application de messagerie (quelle qu'elle soit) ( Guide avec images )
  • Basculez vers Firefox 38 ou version ultérieure (trouvez-le sur votre marché / app store)
  • Basculer vers un gestionnaire de système de fichiers masquant les vignettes vidéo , valeur par défaut pour Total commander
  • Basculez sur un lecteur vidéo qui est immunisé, par exemple le lecteur MX du lecteur vidéo (assurez-vous d'activer le réglage "HW +" pour tous les formats vidéo ) indiqué par hulkingtickets
  • N'ouvrez aucun fichier multimédia et ne dessinez pas de vignettes vidéo dans d'autres applications et bloquez si possible leur ouverture / téléchargement automatique dans toutes les applications. C'est très important . Si votre téléphone ne contient pas de correctif et que vous utilisez N'IMPORTE QUELLE application avec du contenu multimédia et qu'il est impossible de bloquer l'ouverture automatique du multimédia dans cette application (exemple pour le navigateur: si vous ouvrez une page Web au hasard, votre navigateur doit précharger les vidéos, sont sur cette page Web), puis arrêtez d’utiliser cette application et bloquez l’accès à Internet pour cette application (si vous ne pouvez pas - supprimer l’application). Si cette application est importante pour vous et que vous ne pouvez pas mettre à jour le micrologiciel du téléphone ou bloquer le multimédia dans cette application, arrêtez simplement d'utiliser votre téléphone et achetez-en un autre , ce qui n'est pas vulnérable.

    Oui, cela signifie que dans le pire des cas, vous devez changer de téléphone. Stagefright est une vulnérabilité très grave affectant environ 1 milliard d'appareils. Vous pouvez donc facilement devenir victime d'une attaque automatisée qui ne se fait pas directement contre vous, mais qui s'adresse à l'ensemble du milliard d'utilisateurs.

  • Installez les mises à jour, si vous avez CyanogenMod 11 ou 12 (corrigé le 23.07.2015, voir commits sur github )

    EDIT: les correctifs du 23.07.2015 étaient incomplets, vous devrez peut-être mettre à jour à nouveau après le correctif du 13.08.2015

    EDIT 4: Les correctifs du 13.08.2015 étaient encore une fois incomplets, vous devez mettre à jour une nouvelle fois après les correctifs de Google d'octobre 2015 (dénommés Stagefright 2.0). Si vous utilisez Adroid 5.x ou 6, vous devrez peut-être effectuer une nouvelle mise à jour après les prochains correctifs de Google en novembre 2015, car il existe des vulnérabilités tout aussi dangereuses (CVE-2015-6608 et CVE-2015-6609), qui ne le sont probablement pas. appelé plus Stagefright. Veuillez noter que l'heure du correctif effectif de votre fabricant peut être postérieure, ou du moins différente. Par exemple, la CM11 a été mise à jour le 09.11.2015 , tandis que la CM12.1 a été mise à jour le 29.09.2015 .

    EDIT 5: 2 nouvelles vulnérabilités de Stagefright ont été signalées par Google au 01.02.2016, cependant, elles "n'affectent" que Adroid 4.4.4 - 6.0.1

  • Attendez la mise à jour de votre fabricant

    EDIT2: Similaire avec CyanogenMod, une mise à jour de votre fabricant pourrait ne pas suffire, en raison du problème de correction du débordement d'entier initial signalé le 12.08.2015: La correction du débordement d'entier d'origine était inefficace . Ainsi, même après la mise à jour, il est recommandé de vérifier si votre téléphone est toujours vulnérable à l'aide de l'application de Zimperium (chercheur du problème Stagefright): Zimperium Stagefright Detector App

  • Si vous avez déjà la racine, essayez le correctif proposé par GoOrDie. Voir aussi ce guide pratique.

    EDIT 3. J'ai essayé ce correctif sur Samsung S4 mini, et cela n'a pas fonctionné. Alors réfléchissez-y à deux fois avant d'enraciner votre téléphone.

Andrey Sapegin
la source
1
Pourquoi FF est-il plus sûr? Demandé: android.stackexchange.com/questions/120914/…
Clay Nichols
1
Très bonne réponse. Merci. Un autre ajout: le lecteur MX du lecteur vidéo a un paramètre qui désactive l’utilisation des parties vulnérables de la bibliothèque stagefright avec accélération hw, ou n’utilise pas du tout stagefright dans l’accélération logicielle forum.xda-developers.com/apps/mx- joueur /…
hulkingtickets
9

Pour atténuer cette attaque, j'ai désactivé les MMS, car je ne les utilise pas de toute façon. Vous pouvez le faire dans le menu Paramètres. Sélectionnez Réseaux cellulaires> Noms des points d'accès, sélectionnez votre point d'accès et supprimez "mms" du type APN. J'ai également vidé le MMSC.

(Cliquez sur l'image pour l'agrandir; survolez l'image pour connaître les instructions)

Ordre des instructions: suivez les images de gauche à droite dans chaque rangée

Notez qu'Android convertit les SMS de groupe en MMS, vous voudrez peut-être également le désactiver. Pour ce faire, accédez à l'application Messagerie, ouvrez le menu Paramètres, puis désactivez la messagerie de groupe et la récupération automatique.

Luca Invernizzi
la source
1
Votre solution répond-elle au problème soulevé ici ?
Firelord
N'ayant pas de carte SIM avec cet opérateur allemand, je ne peux pas vérifier si cela fonctionne ou non dans ce cas. J'ai vérifié que je ne recevais aucun MMS avec T-Mobile aux États-Unis. Je pense que la désactivation de la récupération automatique devrait suffire (même avec le transporteur allemand utile), mais jusqu'à ce que les détails de l'attaque soient rendus publics, c'est difficile à dire.
Luca Invernizzi
1
J'ai modifié la réponse car l'essentiel est dans les images et il était difficile d'aller sur un site différent et de faire défiler des images énormes, sans compter que nous essayons moins de recourir à des ressources hors site (Imgur est une exception). J'espère que ça ne vous dérange pas. :)
Firelord
Sûr! Et il semble que l’on ne puisse pas (du moins je ne peux pas) modifier l’APN dans Android 4.2.1, mais on peut en créer un nouveau. Il serait donc pénible pour les divers organes de copier l'APN d'origine avec les modifications suggérées.
Firelord
1
La case à cocher "messagerie de groupe" ressemble à celle qui contrôle l' envoi de MMS et non la réception. Cela ne devrait pas être un risque. Mais désactiver la fonction "Récupération automatique" semble empêcher le téléphone d’afficher le contenu d’un MMS malveillant. Quelle protection supplémentaire le changement APN fournit-il?
Wyzard --Stop Harming Monica--
4

La version la plus récente de Hangouts atténue ce problème. Il semblerait qu'elle effectue des vérifications supplémentaires avant de transmettre le support au service système. Cela ne résout toutefois pas le problème sous-jacent dans le système.

Vous pouvez également désactiver la récupération automatique de MMS dans Hangouts via son SettingsSMS→ décocher Auto retrieve MMSou dans Messenger via son SettingsAdvanced→ désactiver Auto-retrievesous MMS. Ce site contient des étapes détaillées si vous en avez besoin.

Matthew Read
la source
2
Matthew, parfois une source (par exemple, un ChangeLog) est vraiment utile pour croire la demande.
Firelord
@Firelord Malheureusement, le journal des modifications de Hangouts indique simplement "corrections de bugs divers"; Je ne trouve pas non plus de déclaration officielle. Vous ne pouvez vraiment le vérifier qu'en testant.
Matthew Lu
3

Ce problème concerne également la navigation sur le Web. Essayez de désactiver les media.stagefrightpropriétés associées (si existantes) dans le build.propfichier de configuration.

Montez la partition racine en tant que rwet éditez build.prop. Régler media.stagefright.enable-###àfalse

Remarque: cela nécessite un accès root .

GoOrDie
la source
Le périphérique doit être enraciné, montez la partition racine en tant que rw un paramètre edit build.prop afin de fausse les propriétés de media-stagefright Ce n'est pas une atténuation confirmée mais je l'ai fait.
GoOrDie
Quel appareil et quelle version Android utilisez-vous? Je n'ai pas un tel réglage dans mon build.prop.
Firelord
C'est un vieux 4.1.2
GoOrDie
C'est ce que j'ai fait. Personne ne vous dira de rooter votre téléphone pour cela ... Attendez simplement une mise à jour ou plus d'informations si vous le pouvez.
GoOrDie
2

Comme MMS (Multi-Media-Messaging) est l’une des manières différentes dont cet exploit peut être exécuté, vous pouvez empêcher cela des exploits MMS. Stagefright en soi n'est pas un exploit. Stagefright est une bibliothèque multimédia intégrée au framework Android.

L'exploit a été trouvé dans un outil multimédia caché au niveau du système, de sorte que presque toutes les variantes d'Android ayant cet outil à la base pourraient être facilement ciblées. Selon l'étude de Zimperium zLabs, un seul texte multimédia peut ouvrir la caméra de votre appareil et commencer à enregistrer de la vidéo ou de l'audio, tout en permettant aux pirates d'accéder à toutes vos photos ou à Bluetooth. La réparation de Stagefright nécessiterait une mise à jour complète du système (ce qui n’a toujours pas été signalé par un OEM), car l’ exploit est intégré à un outil à l’échelle du système. Heureusement, les développeurs d'applications SMS ont déjà pris le problème en main et publié des correctifs temporaires pour éviter que Stagefright n'obtienne un accès automatique à la caméra de votre appareil en empêchant les messages vidéo MMS de s'exécuter dès leur arrivée.[Source - Manchettes Android]

Vous pouvez utiliser Textra SMS ou Chomp SMS à partir du Play Store qui prétend pouvoir limiter cet exploit Stagefirght . Les deux applications Textra et Chomp SMS développées par Delicious Inc. ont toutes deux reçu de nouvelles mises à jour qui limitent la manière dont les messages MMS vidéo sont exécutés dès leur réception par votre appareil.

Extrait de l' article de la base de connaissances Textra ,

L'exploitation de stagefright peut se produire lorsqu'une application SMS / MMS crée la miniature de vidéo MMS affichée dans la bulle de conversation ou la notification, ou lorsqu'un utilisateur appuie sur le bouton de lecture de la vidéo ou l'enregistre dans Galerie.

Nous avons fourni une solution pour 'StageFright' dans la version 3.1 de Textra disponible.

Très important: dans d'autres applications SMS / MMS, désactiver la récupération automatique n'est PAS suffisant, car une fois que vous avez appuyé sur «télécharger», l'exploit devient potentiellement actif. De plus, vous ne recevrez aucune photo ou message de groupe MMS. Pas une bonne solution.

Selon le développeur des deux applications,

le risque que votre appareil soit ciblé sur ce nouvel exploit est considérablement réduit en empêchant les messages MMS de s'exécuter automatiquement.

Comment puis-je protéger de Stagefright en utilisant Textra?

Activez le Stagefright Protectionsous les paramètres de votre application Textra.

Screenshot_Textra_Stagefright_protection

Capture d'écran (Cliquez pour agrandir l'image)

Voici donc ce qui se passe si vous activez la protection Stagefright de l'application et si vous recevez un message d'exploit Stagefright,

  1. Stagefright Protected: Comme vous pouvez le voir ci-dessous, le message n'a pas été téléchargé et la vignette n'a pas été résolue. Par conséquent, si cette vidéo comporte un exploit ciblant Stagefright, elle ne pourra pas encore exécuter son code. Le message comporte une belle étiquette «Stagefright Protection».

Capture_1

Capture d'écran (Cliquez pour agrandir l'image)

  1. Que se passe-t-il si je clique sur le message protégé Stagefright? : Lorsque vous appuyez sur le bouton Lecture du message MMS: une boîte encore plus grande, avec un bouton de lecture encore plus grand et une étiquette encore plus grande «Stagefright».

Screenshot_2

Capture d'écran (Cliquez pour agrandir l'image)

  1. Voulez-vous toujours ouvrir les médias et être affecté? : Enfin, en cliquant sur le bouton Lecture une dernière fois, un beau message d’avertissement vous rappellera que les vidéos téléchargées peuvent contenir un exploit appelé Stagefright.

( Remarque: il n'y a pas d'exploit connu, et s'il y avait un nom qui ne s'appellerait pas Stagefright, Stagefright étant simplement le nom de la bibliothèque multimédia susceptible d'être exploitée ).

Capture_3

Capture d'écran (Cliquez pour agrandir l'image)

Appuyez sur le OKAYbouton pour afficher la vidéo que vous alliez regarder, et c'est tout. Si cette vidéo contenait effectivement un exploit qui cible Stagefright, elle serait en fait exécutée à ce moment-là.

Source: Phandroid

Si vous êtes curieux de savoir si vous êtes déjà affecté et victime de l'exploit de Stagefright, téléchargez cette application, Stagefright Detector de PlayStore, publiée par zLabs (laboratoires de recherche Zimperium), qui a signalé le problème à Google.

Mis à jour le: [18-09-2k15]

Motorola a officiellement publié un correctif de sécurité pour le problème de sécurité de Stagefright le 10 août, à l'intention des opérateurs, afin qu'il soit testé et diffusé au public, en fonction du fournisseur. Il est mentionné dans les forums que,

Dès qu'un correctif est prêt, vous verrez une notification sur votre téléphone pour télécharger et installer la mise à jour. Nous encourageons tous les utilisateurs à vérifier périodiquement s'ils disposent du dernier logiciel en consultant Paramètres> À propos du téléphone> Mises à jour du système.

Et si vous utilisez Motorola et que vous n'avez toujours pas reçu le correctif de sécurité, vous pouvez lire ce qui suit pour éviter les risques de sécurité liés aux attaques,

Que puis-je faire pour me protéger si mon téléphone ne dispose pas du correctif? Premièrement, téléchargez uniquement du contenu multimédia (pièces jointes ou tout ce qui doit être décodé pour le visualiser) auprès de personnes que vous connaissez et en qui vous avez confiance. Vous pouvez désactiver la capacité de votre téléphone à télécharger le MMS automatiquement. De cette façon, vous ne pouvez choisir de télécharger que depuis des sources fiables.

  • Messagerie: allez dans Paramètres. Décochez la case "Récupérer automatiquement le MMS".
  • Hangouts (si activé pour les SMS; s'il est grisé, aucune action requise): allez dans Paramètres> SMS. Décochez la case Récupération automatique du MMS.
  • Verizon Message +: allez dans Paramètres> Paramètres avancés. Décochez la case Récupération automatique. Décochez la case "Activer l'aperçu du lien Web".
  • Whatsapp Messenger: allez dans Paramètres> Paramètres de discussion> Téléchargement automatique de média. Désactivez tous les téléchargements automatiques de vidéos sous «Lors de l'utilisation de données mobiles», «Une fois connecté au Wi-Fi» et «En itinérance».
  • Handcent Next SMS: allez dans paramètres> paramètres de réception de message. Désactiver la récupération automatique.

En savoir plus sur:

Comment se protéger de la vulnérabilité Stagefright?
Quels sont les autres vecteurs d'attaque de Stagefright?

Chanceux
la source
1
Oui en effet! Comme indiqué dans l'article, StageFright est un exploit et il peut non seulement être déclenché à partir de MMS, mais également utiliser tout ce qui utilise le cadre multimédia de base d'Android qui présente cette vulnérabilité. Ma réponse est donc spécifique à l’exploitation des messages MMS. Mais il y a beaucoup d'autres possibilités aussi. À moins que Mobile OEM ne prenne ce problème au sérieux et publie une mise à jour pour tous les téléphones Android, tous ses téléphones sont vulnérables.
Chanceux
"il n'y a pas d'exploit connu, et s'il n'y avait pas son nom, Stagefright, Stagefright étant simplement le nom de la bibliothèque multimédia susceptible d'être exploitée": ils sont maintenant faux sur les deux comptes: PhK lie un exploit pour un bug CBS nommé stagefright
user2987828 Le
2

Le MX Player ad-ware prétend lire des vidéos sans bogues liés à stagefright . Vous devez sélectionner tous les boutons grisés et tous les boutons cochés en bleu affichés sur ces images:

ouvrir MX Player, ouvrir ses paramètres sélectionnez les paramètres du décodeur activer les décodeurs HW + (pas le matériel) puis saisir les codecs et activer tous les codecs

Vous devrez également effacer les valeurs par défaut de toutes les applications du lecteur vidéo, puis sélectionner MX Player en tant qu'application du lecteur par défaut.

Disclaimer: Cette application est disponible en deux versions: une gratuite avec des publicités et l'autre "Pro" à 6,10 € . Je ne suis pas liée à ses auteurs. Je ne tirerai aucun revenu de ce post. Je ne peux obtenir qu'un certain nombre de points de rep.

Merci à hulkingtickets pour l’idée de cette réponse même.

utilisateur2987828
la source