Problema de seguridad de Stagefright: ¿qué puede hacer un usuario habitual para mitigar el problema sin un parche?

Para mitigar este ataque, he desactivado los MMS, ya que no los uso de todos modos. Puedes hacerlo en el menú de ajustes. Selecciona Redes Celulares > Nombres de Puntos de Acceso, selecciona tu punto de acceso y elimina los "mms" del Tipo de APN. También he eliminado los MMSC.

_{(Haga clic en la imagen para ampliarla; pase el cursor por encima de la imagen para conocer la instrucción)}

_{Orden de instrucciones: Siga las imágenes de izquierda a derecha en cada fila}

Ten en cuenta que Android convierte los SMS de grupo en MMS, así que quizás quieras deshabilitar eso también. Para ello, ve a la aplicación de mensajería, abre el menú de configuración y desactiva la mensajería de grupo y la recuperación automática.

La versión más reciente de Hangouts mitiga este problema, parece que hace algunas comprobaciones adicionales antes de pasar los medios al servicio del sistema. Sin embargo, no soluciona el problema subyacente en el sistema.

También puedes desactivar la recuperación automática de MMS en Hangouts a través de su Settings → SMS → desmarcarse Auto retrieve MMS o en Messenger a través de su Settings → Advanced → desactivar Auto-retrieve en MMS . Este sitio tiene los pasos detallados si los necesitas.

Este problema también afecta a la navegación web. Pruebe a desactivar media.stagefright -relacionado con las propiedades (si existe) en build.prop archivo de configuración.

Montar la partición root como rw y editar build.prop . Establecer media.stagefright.enable-### a false

Nota: esto requiere acceso a root .

Como MMS(Multi-Media-Messaging) es una de las múltiples maneras en que este exploit puede ser ejecutado, puedes prevenir esto desde los exploits MMS. Stagefright por sí mismo no es un exploit. Stagefright es un biblioteca multimedia integrado en el marco de Android.

El exploit se encontró en una herramienta multimedia oculta en el sistema profundo sistema, por lo que casi todas las variantes de Android que tienen la herramienta en su núcleo pueden ser fácilmente atacadas. Según el estudio de Zimperium zLabs, un texto multimedia tiene la capacidad de abrir la cámara del dispositivo y comenzar a grabar vídeo o audio, y también dar a los hackers acceso a todas tus fotos o Bluetooth. Arreglar Stagefright requeriría una una actualización completa del sistema (que todavía no ha sido por ningún OEM), ya que el explotar está integrado en un sistema de herramienta. Afortunadamente, los desarrolladores de aplicaciones de SMS ya han tomado el problema en sus propias manos y han publicado correcciones temporales para evitar que Stagefright obtener acceso automático a la cámara de tu dispositivo, impidiendo que los mensajes MMS de vídeo de vídeo a medida que llegan. [Fuente - Android Headlines]

Puede utilizar Textra SMS o Chomp SMS de la Play Store que afirma que es capaz de limitando esta hazaña de Stagefirght . Las dos aplicaciones Textra y Chomp SMS desarrolladas por Delicious Inc. han recibido nuevas actualizaciones que limitan la ejecución de los mensajes MMS de vídeo en cuanto los recibe el dispositivo.

Desde el Base de conocimientos de Textra artículo,

El exploit stagefright puede ocurrir cuando cualquier aplicación de SMS / MMS crea el miniatura de vídeo MMS que muestra en la burbuja de conversación o notificación o si un usuario pulsa el botón de reproducción del vídeo o guarda en la Galería.

Hemos proporcionado una solución para 'StageFright' en la versión 3.1 de Textra que ya está a la venta.

Muy importante: En otras aplicaciones de SMS / MMS, desactivar la recuperación automática es NO suficiente, ya que una vez que se pulsa "descargar" el exploit se activa potencialmente. Además, usted no recibiría ninguna foto MMS o mensajes de grupo o mensajes de grupo. No es una buena solución.

Según el desarrollador de ambas aplicaciones,

el riesgo de que su dispositivo sea objeto de este nuevo exploit es muy disminuye al negar a los mensajes MMS la capacidad de ejecutarse automáticamente.

¿Cómo puedo protegerme de Stagefright con Textra?

Encienda el Stagefright Protection en la configuración de su aplicación Textra.

_{Captura de pantalla (Haga clic para ampliar la imagen)}

Esto es lo que ocurre si activas la protección Stagefright de la aplicación y si recibes un mensaje de explotación de Stagefright,

1. Protegido por Stagefright: Como se puede ver a continuación, el mensaje no se ha descargado y la miniatura no se ha resuelto, por lo que si este vídeo tiene un exploit dirigido a Stagefright, todavía no podrá ejecutar su código. El mensaje tiene una bonita etiqueta de "Protección contra Stagefright" debajo de él.

_{Captura de pantalla (Haga clic para ampliar la imagen)}

2. ¿Qué ocurre si hago clic en el mensaje de Stagefright Protegido? : Al pulsar el botón de reproducción del mensaje MMS: una caja aún más grande, con un botón de reproducción aún más grande, y una etiqueta "Stagefright" aún más grande.

_{Captura de pantalla (Haga clic para ampliar la imagen)}

3. ¿Aún quieres abrir los medios de comunicación y que te afecten? : Por último, al hacer clic en el botón de reproducción por última vez, aparecerá un bonito mensaje de advertencia que le recordará que los vídeos descargados pueden contener un exploit llamado Stagefright.

( Nota: no se conoce ningún exploit, y si lo hubiera no se llamaría Stagefright ya que Stagefright es simplemente el nombre de la librería multimedia que es vulnerable a ser explotada ).

_{Captura de pantalla (Haga clic para ampliar la imagen)}

Al pulsar la tecla OKAY se mostrará el vídeo que ibas a ver, y ya está. Si dicho vídeo contuviera un exploit dirigido a Stagefright, se ejecutaría en ese momento.

Fuente : Phandroid

Si tiene curiosidad por saber si ya está afectado y es víctima del exploit Stagefright, descargue esta aplicación Detector de tifus de PlayStore que fue publicado por zLabs(Zimperium research labs) que reportó primero el problema a Google.

Actualizado: [18-09-2k15]

Motorola ha lanzado oficialmente un parche de seguridad para el problema de seguridad Stagefright el 10 de agosto a los transportistas para su prueba y su liberación al público basado en el proveedor operador. Es mencionado en los foros eso,

En cuanto un parche esté listo, verás una notificación en tu teléfono para descargar e instalar la actualización. Animamos a todos a que comprueben periódicamente si tienen la última versión del software en Ajustes>Acerca del teléfono>Actualizaciones del sistema.

Y si usas Motorola y todavía no tienes el parche de seguridad puedes leer lo siguiente para evitar el riesgo de seguridad bajo ataque,

¿Qué puedo hacer para protegerme si mi teléfono no tiene el parche? En primer lugar, sólo descarga contenidos multimedia (como archivos adjuntos o cualquier cosa que necesite ser decodificada para verla) de personas que conozcas y de confianza. Puedes desactivar la capacidad de tu teléfono para descargar MMS automáticamente. De este modo, sólo puedes elegir descargar de fuentes de confianza. de confianza.

• Mensajería: vaya a Configuración. Desmarca "Recuperación automática de MMS".
• Hangouts (si está activado para los SMS; si está en gris, no es necesario hacer nada): ve a Configuración > SMS. Desmarca la opción de recuperación automática de MMS.
• Verizon Message+: ve a Ajustes > Ajustes avanzados. Desmarca Recuperación automática. Desmarca "Habilitar vista previa de enlaces web".
• Whatsapp Messenger: ve a Configuración > Configuración del chat > Descarga automática de medios. Desactiva todas las descargas automáticas de vídeo en "Al usar datos móviles", "Al conectarse por Wi-Fi" y "En itinerancia".
• Handcent Next SMS: ir a ajustes>Configuración de recepción de mensajes. Desactiva la recuperación automática.

Leer más en :

¿Cómo protegerse de la vulnerabilidad de stagefright?
¿Cuáles son los otros vectores de ataque de Stagefright?