Masalah keamanan Stagefright: apa yang bisa dilakukan pengguna biasa untuk mengurangi masalah tanpa tambalan?

Tampaknya ada kerentanan keamanan raksasa dengan Android yang tampaknya pada dasarnya mempengaruhi semua ponsel. PC World menulis:

Sebagian besar ponsel Android dapat diretas dengan mengirimkannya pesan multimedia khusus dibuat (MMS), seorang peneliti keamanan [Joshua Drake] telah ditemukan.

...

Drake menemukan banyak kerentanan dalam komponen inti Android yang disebut Stagefright yang digunakan untuk memproses, memutar, dan merekam file multimedia. Beberapa kekurangan memungkinkan untuk eksekusi kode jarak jauh dan dapat dipicu saat menerima pesan MMS, mengunduh file video yang dibuat khusus melalui browser atau membuka halaman Web dengan konten multimedia yang tertanam.

...

Vektor serangan MMS adalah yang paling menakutkan karena tidak memerlukan interaksi dari pengguna; telepon hanya perlu menerima pesan jahat.

Misalnya, penyerang dapat mengirim MMS berbahaya ketika korban tidur dan dering telepon dibungkam, kata Drake. Setelah eksploitasi, pesan dapat dihapus, sehingga korban tidak akan pernah tahu bahwa teleponnya diretas, katanya.

Apa yang bisa dilakukan pengguna biasa untuk mengurangi masalah? Nonaktifkan Google Hangouts?

Ini bukan hanya tentang MMS atau penelusuran web, karena Stagefright adalah perpustakaan yang membantu ponsel membongkar pesan multimedia: lihat Media dan artikel ini tentang Fortune.

Jadi ini tentang aplikasi apa pun (termasuk browser web Anda) yang berfungsi dengan multimedia (klip video dan rekaman audio). MMS hanyalah cara termudah untuk mengeksploitasinya, karena ponsel Anda tidak akan meminta Anda sebelum mengunduhnya.

Itulah mengapa Anda juga perlu memikirkan semua aplikasi lain yang bekerja dengan multimedia dan tidak pernah membuka lampiran multimedia apa pun sebelum perbaikan tidak diinstal pada ponsel Anda.

Untuk browser Web, Anda dapat beralih ke Firefox 38 atau lebih tinggi , lalu Anda dapat melanjutkan membuka halaman web dengan konten video dan / atau audio.

Untuk meringkas:

• Nonaktifkan pengambilan otomatis MMS di Aplikasi Olahpesan Anda (apa pun itu) ( Panduan dengan gambar )
• Beralih ke Firefox 38 atau yang lebih baru (temukan di market / app store Anda)
• Beralih ke manajer sistem file yang menyembunyikan thumbnail video , yang merupakan default untuk Total commander
• Beralih ke pemutar video yang kebal, mis. Pemutar video player MX (pastikan untuk mengaktifkan pengaturan "HW +" untuk semua format video ) yang ditunjukkan oleh hulkingtickets

• Jangan membuka file multimedia atau menggambar thumbnail video di aplikasi lain dan memblokir pembukaan / pengunduhan otomatis di semua aplikasi jika memungkinkan. Ini sangat penting . Jika ponsel Anda tidak ditambal dan Anda menggunakan aplikasi APA PUN dengan konten multimedia, dan tidak ada opsi untuk memblokir pembukaan otomatis multimedia di aplikasi ini (contoh untuk browser: jika Anda membuka beberapa halaman web acak, browser Anda harus memuat video, jika mereka membuka ada di halaman web ini), kemudian berhenti menggunakan aplikasi ini dan memblokir akses Internet untuk aplikasi ini (jika Anda tidak dapat - menghapus aplikasi). Jika aplikasi ini penting bagi Anda, dan Anda tidak dapat memperbarui firmware ponsel atau memblokir multimedia di aplikasi ini, cukup hentikan penggunaan ponsel Anda dan beli yang lain , yang tidak rentan.

  Ya, ini berarti bahwa dalam kasus terburuk Anda perlu mengganti telepon. Stagefright adalah kerentanan sangat serius yang memengaruhi ~ 1 miliar perangkat, sehingga Anda dapat dengan mudah menjadi korban serangan otomatis, yang tidak dilakukan secara langsung terhadap Anda, tetapi ditujukan kepada semua 1 miliar pengguna.

• Instal pembaruan, jika Anda memiliki Cyanogenmod 11 atau 12 (diperbaiki pada 23.07.2015, lihat komit di github )

  EDIT: perbaikan dari 23.07.2015 tidak lengkap, Anda mungkin perlu memperbarui lagi setelah memperbaikinya pada 13.08.2015

  EDIT 4: Perbaikan pada 13.08.2015 sekali lagi tidak lengkap, Anda perlu memperbarui sekali lagi setelah perbaikan dari Google pada Oktober 2015 (disebut Stagefright 2.0). Jika Anda memiliki Adroid 5.x atau 6, Anda mungkin perlu memperbarui lagi setelah perbaikan selanjutnya dari Google pada November 2015, karena ada kerentanan berbahaya yang serupa (CVE-2015-6608 dan CVE-2015-6609), yang mungkin tidak disebut Stagefright lagi. Harap dicatat, bahwa waktu perbaikan aktual dari pabrikan Anda mungkin nanti, atau setidaknya berbeda. Misalnya, CM11 diperbarui pada 09.11.2015 , sedangkan CM12.1 diperbarui pada 29.09.2015 .

  EDIT 5: 2 lebih banyak kerentanan Stagefright dilaporkan oleh Google pada 01.02.2016, namun, mereka "hanya" memengaruhi Adroid 4.4.4 - 6.0.1

• Tunggu pembaruan dari pabrikan Anda

  EDIT2: Mirip dengan Cyanogenmod, pembaruan dari pabrikan Anda mungkin tidak cukup, karena masalah dengan perbaikan bilangan bulat bilangan bulat awal, yang dilaporkan pada 12.08.2015: Perbaikan bilangan bulat bilangan bulat asli tidak efektif . Jadi, bahkan setelah pembaruan, disarankan untuk memeriksa apakah ponsel Anda masih rentan menggunakan Aplikasi dari Zimperium (penemu masalah Stagefright): Aplikasi Zimperium Stagefright Detector

• Jika Anda sudah memiliki root, coba perbaiki yang ditawarkan oleh GoOrDie. Juga lihat panduan howto ini .

  EDIT 3. Saya mencoba perbaikan ini pada Samsung S4 mini, dan tidak berhasil. Jadi pikirkan dua kali sebelum me-rooting ponsel Anda.

Untuk mengurangi serangan ini, saya telah menonaktifkan MMS, karena saya tidak menggunakannya. Anda dapat melakukannya di menu Pengaturan. Pilih Jaringan Seluler> Nama Poin Akses, pilih titik akses Anda, dan hapus "mms" dari Jenis APN. Saya juga sudah menghapus MMSC.

_{(Klik gambar untuk memperbesar; arahkan gambar untuk mengetahui instruksi)}

_{Urutan Instruksi: Ikuti gambar dari kiri ke kanan di setiap baris}

Perhatikan bahwa Android mengonversi SMS grup ke MMS, jadi Anda mungkin ingin menonaktifkannya juga. Untuk melakukan itu, buka aplikasi Pesan, buka menu Pengaturan, dan nonaktifkan Pesan Grup dan Ambil Otomatis.

Versi terbaru Hangouts mengurangi masalah ini, sepertinya ia melakukan beberapa pemeriksaan tambahan sebelum meneruskan media ke layanan sistem. Itu tidak memperbaiki masalah mendasar dalam sistem.

Anda juga dapat menonaktifkan pengambilan otomatis MMS di Hangouts melalui Settings→ SMS→ hapus centangnya Auto retrieve MMSdi Messenger Settings→ Advanced→ → di Auto-retrievebawah MMS. Situs ini memiliki langkah-langkah terperinci jika Anda membutuhkannya.

Masalah ini juga mempengaruhi penjelajahan web. Coba nonaktifkan media.stagefrightproperti terkait (jika ada) di build.propfile konfigurasi.

Pasang partisi root sebagai rwdan edit build.prop. Setel media.stagefright.enable-###kefalse

Catatan: ini membutuhkan akses root .

Zimperium, perusahaan yang melaporkan kerentanan, telah memposting informasi tambahan tentang kerentanan yang terkait dengan Stagefright. . Di Google Play Store, ada aplikasi yang akan mendeteksi apakah kerentanan ada di perangkat Anda. Rupanya Samsung juga memposting aplikasi yang akan menonaktifkan MMS di perangkat Samsung, meskipun ini tidak ada di Play Store.

Karena MMS (Multi-Media-Messaging) adalah salah satu dari beberapa cara eksploit ini dapat dijalankan, Anda dapat mencegahnya dari eksploitasi MMS. Stagefright sendiri bukan eksploit. Stagefright adalah perpustakaan multimedia yang dibangun dalam kerangka Android.

Eksploitasi ditemukan dalam alat multimedia yang tersembunyi di level sistem yang dalam, sehingga hampir semua varian Android yang memiliki alat tersebut pada intinya dapat dengan mudah ditargetkan. Menurut penelitian Zimperium zLabs, satu teks multimedia memiliki kemampuan untuk membuka kamera perangkat Anda dan mulai merekam video atau audio, dan juga memberikan akses hacker ke semua foto atau Bluetooth Anda. Memperbaiki Stagefright akan membutuhkan pembaruan sistem yang lengkap (yang masih belum dilaporkan dirilis oleh OEM mana pun), karena exploit tertanam ke alat di seluruh sistem. Untungnya, pengembang aplikasi SMS telah menangani sendiri masalah ini dan merilis perbaikan sementara untuk menghindari Stagefright untuk mendapatkan akses otomatis ke kamera perangkat Anda dengan menghentikan pesan MMS video agar tidak berjalan saat mereka tiba.[Sumber - Android Headline]

Anda bisa menggunakan Textra SMS atau Chomp SMS dari Play Store yang mengklaim mampu membatasi eksploitasi Stagefirght ini . Kedua aplikasi Textra dan Chomp SMS yang dikembangkan oleh Delicious Inc. telah menerima pembaruan baru yang membatasi cara pesan MMS video dijalankan segera setelah diterima oleh perangkat Anda.

Dari artikel Basis Pengetahuan Textra ,

Eksploitasi stagefright dapat terjadi ketika aplikasi SMS / MMS membuat thumbnail video MMS yang ditampilkan di gelembung percakapan atau pemberitahuan atau jika pengguna menekan tombol putar pada video atau menyimpan ke Galeri.

Kami telah memberikan solusi untuk 'StageFright' dalam Rilis 3.1 dari Textra sekarang.

Sangat Penting: Di aplikasi SMS / MMS lainnya, mematikan pengambilan otomatis TIDAK cukup karena begitu Anda mengetuk 'unduh' eksploit tersebut berpotensi menjadi aktif. Selain itu Anda tidak akan mendapatkan foto MMS atau pesan grup. Bukan solusi yang bagus.

Menurut pengembang kedua aplikasi tersebut,

risiko perangkat Anda menjadi sasaran exploit baru ini sangat berkurang dengan menyangkal kemampuan pesan MMS untuk berjalan secara otomatis.

Bagaimana saya bisa melindungi dari Stagefright menggunakan Textra?

Aktifkan di Stagefright Protectionbawah Pengaturan aplikasi Textra Anda.

_{Tangkapan layar (Klik untuk memperbesar gambar)}

Jadi inilah yang terjadi jika Anda mengaktifkan Perlindungan Stagefright aplikasi dan jika Anda menerima pesan exploit Stagefright,

1. Stagefright Dilindungi: Seperti yang Anda lihat di bawah, pesan itu tidak diunduh dan gambar mini belum terselesaikan, jadi jika video ini memiliki eksploitasi penargetan Stagefright maka ia belum dapat menjalankan kodenya. Pesan itu memiliki label "Stagefright Protection" yang bagus di bawahnya.

_{Tangkapan layar (Klik untuk memperbesar gambar)}

2. Apa yang terjadi jika saya mengklik pesan Stagefright Protected? : Ketika Anda menekan tombol Play pada pesan MMS: kotak yang lebih besar, dengan tombol play yang lebih besar, dan label "Stagefright" yang lebih besar.

_{Tangkapan layar (Klik untuk memperbesar gambar)}

3. Apakah Anda masih ingin membuka Media dan terpengaruh? : Terakhir, mengklik tombol Play untuk terakhir kalinya akan memunculkan pesan peringatan yang bagus yang mengingatkan Anda bahwa video yang diunduh mungkin berisi exploit yang disebut Stagefright.

( Catatan: tidak ada exploit yang diketahui, dan jika ada namanya tidak akan menjadi Stagefright karena Stagefright hanyalah nama perpustakaan multimedia yang rentan untuk dieksploitasi ).

_{Tangkapan layar (Klik untuk memperbesar gambar)}

Menekan OKAYtombol akan memunculkan video mana pun yang akan Anda tonton, dan hanya itu. Jika video tersebut benar-benar mengandung exploit yang menargetkan Stagefright maka itu akan, pada kenyataannya, dieksekusi pada saat ini.

Sumber: Phandroid

Jika Anda ingin tahu apakah Anda sudah terpengaruh dan menjadi korban eksploitasi Stagefright, maka unduh aplikasi ini Stagefright Detector dari PlayStore yang dirilis oleh zLabs (laboratorium penelitian Zimperium) yang pertama kali melaporkan masalah ini ke Google.

Diperbarui: [18-09-2k15]

Motorola telah secara resmi merilis patch keamanan untuk masalah keamanan Stagefright pada 10 Agustus kepada operator untuk pengujian dan dirilis ke publik berdasarkan penyedia operator. Hal ini disebutkan dalam forum itu,

Segera setelah tambalan siap, Anda akan melihat pemberitahuan di ponsel Anda untuk mengunduh dan menginstal pembaruan. Kami mendorong semua orang untuk memeriksa secara berkala apakah mereka memiliki perangkat lunak terbaru dengan mencentang di Pengaturan> Tentang Telepon> Pembaruan Sistem.

Dan jika Anda menggunakan Motorola dan masih belum mendapatkan patch keamanan Anda dapat membaca yang berikut untuk menghindari risiko keamanan diserang,

Apa yang dapat saya lakukan untuk melindungi diri saya sendiri jika ponsel saya tidak memiliki patch? Pertama, hanya unduh konten multimedia (seperti lampiran atau apa pun yang perlu diterjemahkan untuk melihatnya) dari orang yang Anda kenal dan percayai. Anda dapat menonaktifkan kemampuan ponsel Anda untuk mengunduh MMS secara otomatis. Dengan begitu Anda hanya dapat memilih untuk mengunduh dari sumber tepercaya.

• Pesan: pergi ke Pengaturan. Hapus centang "Ambil otomatis MMS."
• Hangouts (jika diaktifkan untuk SMS; jika berwarna abu-abu, tidak perlu mengambil tindakan): buka Pengaturan> SMS. Hapus centang secara otomatis mengambil MMS.
• Pesan Verizon +: buka Pengaturan> Pengaturan lanjutan. Hapus centang Ambil otomatis. Hapus centang "Aktifkan pratinjau tautan web."
• Whatsapp Messenger: buka Pengaturan> Pengaturan obrolan> Unduhan otomatis media. Nonaktifkan semua unduhan video otomatis di bawah "Saat menggunakan data seluler," "Saat terhubung di Wi-Fi" dan "Saat roaming."
• Handcent Next SMS: buka pengaturan> Terima pengaturan pesan. Nonaktifkan pengambilan otomatis.

Baca lebih lanjut tentang:

Bagaimana cara melindungi dari kerentanan stagefright?
Apa vektor serangan lain untuk Stagefright?

MX Player ad-ware mengklaim dapat memutar video tanpa bug terkait stagefright . Anda harus memilih semua tombol berwarna abu-abu dan semua tombol berwarna biru yang ditunjukkan pada gambar ini:

Anda juga perlu menghapus semua aplikasi Video Player default, lalu pilih MX Player sebagai aplikasi Player default.

Penafian: Aplikasi ini hadir dalam dua versi: satu gratis dengan iklan , dan yang lainnya "Pro" seharga 6,10 € . Saya tidak terkait dengan penulisnya. Saya tidak akan mendapat pemasukan dari pos ini. Saya mungkin hanya mendapatkan sejumlah poin rep.

Terima kasih kepada hulkingtickets untuk ide jawaban ini.