LINUX.ORG.RU

Устройства на Android могут быть взломаны MMS-сообщением

 stagefright,


0

1

Компанией Zimperium, специализирующейся в области безопасности мобильных коммуникаций, обнаружена уязвимость в написанной на C++ библиотеке обработки медиафайлов Stagefright.

При получении MMS-сообщения, содержащего определённый код, злоумышленник получает доступ к камере, микрофону и карте памяти, после чего есть возможность использования других уже существующих эксплойтов для дальнейшего получения доступа к другим ресурсам телефона (адресная книга, мессендежеры, почта, банковские приложения и т. п.). Открывать полученное сообщение необязательно, Android может самостоятельно обработать и удалить сообщение.

В Zimperium заявили, что данная уязвимость лишь одна из многих критических ошибок Android, которую они представят на конференции Black Hat в Лас-Вегасе в начале августа этого года.

Уязвимости подвержены все устройства работающие под Android, начиная с версии 2.2 вплоть до 5.1 (всего в мире насчитывается около 950 миллионов таких устройств). Несмотря на то, что информация об уязвимости недавно была передана Google и другим компаниям, на сегодняшний момент уязвимость частично устранена только в смартфонах Nexus 6. Остаётся лишь надеяться на то, что производители в ближайшее время выпустят патчи, устраняющие эту дыру, но их выпуск может затянуться, а старые версии могут никогда не получить исправления. На некоторых устройствах Stagefright изначально работает с root-привилегиями.

На данный момент существует несколько обходных путей:

  • получить root-доступ к устройству и отключить Stagefright;
  • удалить или отключить Hangouts (приложение обмена сообщениями по умолчанию, автоматически обрабатывающее сообщения), но и без Hangouts существует уязвимость при просмотре видеосообщений с внедрённым кодом;
  • отключить приём MMS-сообщений.

В Firefox 38 для Android и более новых версиях устранена эта уязвимость при просмотре видео.

>>> Подробности

★★★★★

Проверено: splinter ()
Последнее исправление: splinter (всего исправлений: 6)

Несмотря на то, что информация об уязвимости недавно была передана Google и другим компаниям, на сегодняшний момент уязвимость частично устранена только в смартфонах Nexus 6.

Ещё бы. Этож говно не имеет централизованного сервиса обновлений. Вообще. Спецом при проектировании так заложено.

Остаётся лишь надеяться на то, что производители в ближайшее время выпустят патчи, устраняющие эту дыру, но их выпуск может затянуться,

Кушайте кактус, надейтесь. 99,99% телефонов на этом говне сделано по принципу «выпустил-продал-забыл».

а старые версии могут никогда не получить исправления.

Старые версии на этом говне считаются уже годовалой давности. Когда гарантия заканчивается, можно уже официально хомяков с обновлениями посылать подальше.

anonymous
()
Ответ на: комментарий от cherry-pick

плюсую. если мрази не умеют писать без утечек на не самых простых языках, пусть валят в свое жабоидное дерьмо.

anonymous
()
Ответ на: комментарий от BattleCoder

качай Build Prop Editor

И:

media.stagefright.enable-player=false
media.stagefright.enable-meta=false
media.stagefright.enable-scan=false
media.stagefright.enable-http=false
media.stagefright.enable-rtsp=false
media.stagefright.enable-record=false

Ну ты понял, что всё, что ты делаешь, делаешь на свой страх и риск.

P.S. ИМХО, отключения MMS достаточно.

lexxus-lex ★★★
()
Ответ на: комментарий от BattleCoder

тогда жди обнову под свой девайс, либо ставить кастом с фиксом :)

lexxus-lex ★★★
()
Ответ на: комментарий от BattleCoder

Отключи автоприем MMS, тыкай в скачать только когда точто знаешь что и кто прислал...

WindowsXP ★★
()
Ответ на: комментарий от mandala

А у многих операторов ммс в пакете услуги передачи данных вместе с шаром-жопорезом.

Вот я тоже об этом....

Odalist ★★★★★
()
Ответ на: комментарий от Quickern

Что курил?

Хахаха, смотрите, он сказал неосведомлённому в предмете человеку «что курил», вот умора!

anonymous
()

отключить приём MMS-сообщений

КАК? Просто дайте ссылку как это сделать. Очень прошу.

I-Love-Microsoft ★★★★★
()

Так а текст сообщения какой, что нужно отправить жертве?

Allakka ★★★★
()
Ответ на: комментарий от Quickern

Ну так запостил бы ты, проблемы бы не было, тем более времени для этого много было. Но видимо «оригинальничать» в комментариях интереснее.

anonymous
()
Ответ на: комментарий от Quickern

объясняю если не видел, андроид это ОС от гугл для мобильных устройств, а хангаут это тоже приложение от гугл для обмена сообщениями для андроид (который тоже от гугл)

amorpher ★★★★★
() автор топика
Ответ на: комментарий от anonymous

Я не оригинальничал. Лишь указал на неточность. Но анонимусу виднее, да.

Quickern ★★
()
Ответ на: комментарий от amorpher

Нет, у hangouts есть клиент для андроид. Этот клиент 1) не установлен по-умолчанию вовсе. 2) В нем, после установки, можно включить опцию, которая позволит в этом же клиенте принимать сообщения. Опция появилась недавно.

Внимание вопрос, о каком «по-умолчанию» идет, вообще, речь?

Но да, я этого не видел.

Quickern ★★
()
Ответ на: комментарий от amorpher

«на сегодняшний момент уязвимость частично устранена только в смартфонах Nexus 6.»

А что значит ЧАСТИЧНО УСТРАНЕНА? Какие-то подробности есть?

anonymous
()

...it doesn't seems to be enough to:

- avoid Hangouts or disable: Settings -> SMS -> Auto Retrieve MMS -> [uncheck]
- disable auto-MMS-reception of the standard SMS app or alternative SMS apps
- remove MMS APN: Settings -> More... -> Mobile networks -> Access Point Names -> {choose your MMS provider APN} -> three-dot-menu -> Delete APN

because you would be still vulnerable (e. g. over manipulated email-pictures, or any other app, which uses the Stagefright media framework.

sinister666 ★★
()

Вот как чувствовал что не надо обновляться на андроид 2.2. Слишком он ещё не обкатанный, сырой... Посижу пожалуй ещё на стабильном 2.1

voronaam ★★
()
Ответ на: комментарий от barberry

Если вы установите Firefox 38, то через Firefox провести на вас атаку больше не удастся. Однако, если вы загрузите зловредное видео через браузер с тегом <video width=«300» height=«150»>, а не станете его проигрывать, оно все равно загрузит вредоносный Android-код.

WindowsXP ★★
()

Чтобы принимать MMS, надо профиль для них настроить. А на хрена настраивать-то? Только память забивают, это ж не SMS, которые считанные байты занимают.

MiniRoboDancer ★☆
()
Ответ на: комментарий от Stalin

Я однажды rtf-файл посылал. Причём для этого перешлось переименовать его в .jpg.

MiniRoboDancer ★☆
()
Ответ на: комментарий от anonymous

А то! Яблочники за уязвимость в CoreText и последовавший вал вязи в SMS и мессенджерах мстят.

MiniRoboDancer ★☆
()
Ответ на: комментарий от MiniRoboDancer

Чтобы принимать MMS, надо профиль для них настроить

Современные ведроиды всё автоматом делают, это тебе не телефоны 2000-ых

fornlr ★★★★★
()
Ответ на: комментарий от fornlr

Из коробки настройки для всех опсосов есть? Что-то я такого не припоминаю. Вот в NM есть, да. А принимать настройки от опсоса и телефоны 2000-х умеют, вот только на хрена это делать, и если делать — оставлять включёнными профили MMS и WAP потом? Всё равно что все разрешения приложениям после установки оставлять (в отключение которых этот ваш говноид из коробки только с M-ки научится, ггг).

MiniRoboDancer ★☆
()
Последнее исправление: MiniRoboDancer (всего исправлений: 1)
Ответ на: комментарий от MiniRoboDancer

А принимать настройки от опсоса и телефоны 2000-х умеют

Там надо было нажать на кнопку «принять настройки» - это действие от пользователя. Щас такого нет. Всё автоматом настроится.

fornlr ★★★★★
()
Последнее исправление: fornlr (всего исправлений: 2)
Ответ на: комментарий от fornlr

Всё автоматом настроится

Ну опсосы хоть SMS-кой предупреждают, что настройки слать будут. Хотя за всех опсосов на планете не ручаюсь.

MiniRoboDancer ★☆
()

удалить или отключить Hangouts

:3

DeadEye ★★★★★
()
Ответ на: комментарий от a1batross

а у меня не работают MMS, и, тоже присоед. к вопросу по FF,

anonymous
()
Ответ на: комментарий от anonymous

Попробуйте.

Доступ в интернет и MMS
Услугу нельзя отключить

Из личного кабинета Билайна.
То есть услуга одна на инет и ММС, услуга неотключаемая.
Проверил на трех номерах.

ergil ★★★
()

По всюду слухи что у того украли N-ое количество монет с банковской карты. Уже страшно вообще телефон в руки брать. Наверное самое безопасное держать симку с интернет банком в телефоне за 500 рублей.

dmitry_migachev
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.