Stagefright - Informationsthread (Lösungen, News, Diskussion)

Mir fehlt leider auch das Hintergrundwissen, stelle mir das allerdings auch zu simpel vor mit einfrieren/deinstallieren. Wenn das ausreichen würde, hätte Google ja lediglich ein Update der Nachrichten App rausbringen müssen. Und alle anderen Hersteller lediglich ein App Update der SMS-APP. Von daher glaub ich eher weniger dran

 

Tja, mein MX4 ist ebenfalls betroffen... Mal schauen wann Meizu reagiert (wenn über haupt)

 

Na was da Security-Fixes der chinesichen Hersteller angeht da können wir wohl noch lange warten. Aber ein wenig kann ja jeder was durch die Settings was dagegen machen. Die Hoffnung stirbt da zuletzt......

 

Bei Whatsapp muss man den automatischen Video Download im WLAN ausschalten, der ist da per Default eingeschaltet.

 

Weiss denn einer, was die einzelnen Einträge bedeuten, welche der "Stagefright Detector" von Zimperium testet??

Stagefright besteht ja aus mehreren Exploits, welche der Scanner auch einzeln abklappert. D.h. bei einigen Roms sind alle Exploits grün, bei einigen nur ein paar und andere widerum werden alle als gefährdet (=rot) angezeigt bekommen.
Ich gehe jetzt mal davon aus, dass dementsprechend vielfältig ein mögliches Angriffsszenario ist. Auf einigen Roms, welche nur einen Teil der Exploits haben, wird man ohne Probleme Facebook-Videos gucken können, auf anderen widerum nicht.

Nur leider schreibt Zimperium nirgends, was die einzelnen Einträge bedeuten.
Hier (->https://blog.zimperium.com/stagefright-vulnerability-details-stagefright-detector-tool-released/) gibts zwar ne Liste, welches Exploit was ist, aber welche Module einzelne Apps wie Facebook, WhatsApp, Telegram, etc. nutzen, kann man das irgendwo nachschauen bzw. hat da schon jemand ne Liste gefunden?

 

Nun wenn die Sicherheitsfirma auch noch bekannt gibt, welcher Exploit mit welchem Tool zusammen arbeitet, würde das den Hacker nicht auch noch unterstützen? Es ist ja schon schlimm genug dass sowas überhaupt vorkommt.

 

Ich habe gelesen, dass Stagefright auch auf ungerooteten Geräten seine Prozesse dennoch mit Systemrechten ausführen kann bzw. dass der MMS Prozess mit Systemrechten läuft, und das mache Stagefright so gefährlich. Aber sollte es im Umkehrschluss dann nicht auch irgendwie zumindest theoretisch für die meisten Smartphones eine universelle und leichte Rootmöglichkeit geben, also auch für die Modelle der Platzhirsch-Hersteller wie Samsung, LG etc., die Rooten sonst mit allen Mitteln zu verhindern versuchen?

Nebenbei: obwohl ich bei meinem Zenfone 6 bei Android 4.3 aufgehört habe, Updates zu installieren, hat der Test ein negatives Ergebnis geliefert, also grün, also scheint das Zenfone 6 nicht verwundbar zu sein.

 

Die APN's für MMS löschen. Dann müßte aus der Richtung schon mal Ruhe sein.

Mein neues Meizu M2 Note ist gefährdet. Da hoffe ich auf ein Update.
Das ZTE V975 ist auch gefährdet, da gabs noch nie ein Update.

 

Naja, ist halt sehr zweischneidig das ganze.. Die Hacker wissen eh schon, wo welcher Exploit funktioniert. Gewisse proof-of-concepts und erste Exploit-Packs sind in einschlägigen Foren laut Heise schon zu bekommen.
Mit einer Veröffentlichung kann ich wohl höchstens noch dem 14jährigen Script-Kiddie was Neues zeigen.

Aber ich als Endanwender würde wenigstens wissen, bei welcher App ich besonders vorsichtig sein muss bzw. welche App ich durch eine evtl. Alternative ersetzen sollte. Aufklärung würde hier in meinen Augen mehr bringen als diese obskuren Aussagen "da ist was, nur was genau sagen wird dir nicht" und irgendwelche Versprechungen von Herstellern, mal irgendwann nen Fix zu bringen. Da werde ich lieber selber aktiv

 

Hier eine Stellungnahme von Motorola und Tipps wie man sich gegen STAGEFRIGHT - Angriffe schützen kann.

STAGEFRIGHT Agent
background and guidance
Please distribute to agents and create an consumerfacing
FAQ
GENERAL INFORMATION
What is the "StageFright" or MMS messaging issue?
In June of 2015, Google acknowledged a potential issue with the Android OS and how it
handles MMS, or multimedia
messages containing video.
Android OS provides a media playback engine called “Stagefright”. Stagefright is responsible for
unpacking and playing the multimedia message. Depending on a phone’s messaging settings,
this could take place before the phone owner opens the message or views the video. There is a
possibility that a hacker could insert malware in the video code. It could then be processed and
access the phone without giving the owner a chance to evaluate the video attachment.
We are not aware of any known or reported incidents of anyone attempting to take advantage of
this possibility to harm Android phone owners.
What is Motorola doing about this?
After Google informed us in late June, we've been working to integrate, test and deploy the
patches. All of our newly launched products (Moto X Style, Moto X Play, and Moto G 3rd Gen)
will have the patch integrated in the software. We'll include it in the remaining planned Lollipop
upgrades as soon as possible. We’re working with our partners to update phones that have
already received the Lollipop upgrade.
What can I do to protect myself if my phone does not have the patch?
First, only download multimedia content (such as attachments or anything that needs to be
decoded to view it) from people you know and trust. You can disable your phone’s capability to
download MMS automatically. That way you can only choose to download from trusted sources.
● Messaging: go to Settings. Uncheck “Autoretrieve
MMS.”
● Hangouts (if enabled for SMS; if greyedout,
no need to take action): go to Settings >
SMS. Uncheck auto retrieve MMS.
● Verizon Message+: go to Settings > Advanced settings. Uncheck Autoretrieve.
Uncheck “Enable weblink preview.”
● Whatsapp Messenger: go to Settings > Chat settings > Media autodownload.
Disable
all video auto downloads under “When using mobile data,” “When connected on WiFi”
and “When roaming.”
● Handcent Next SMS: go to settings>Receive message settings. Disable auto retrieve.
When will my phone receive the patch?
The teams are working through plans and schedules. We don’t have specific dates to share
right now. Once we have more info, we’ll share.
What if my phone is not on Lollipop? Will it get the patch?*
If you are due for a Lollipop upgrade, we’re working to integrate, test and deploy the software,
which includes the patch. We are still working through the feasibility to support older devices
that are not getting Lollipop. If you are concerned, I can provide steps you can take to help
protect your phone. (Use FAQ above.)
*Note: We will update this statement as we begin to roll out the patch.

 

Vor 'den Hackern' habe ich nicht soviel Angst. Mehr Sorgen machen mir 'unsere' Geheimdienste. Wer weiß, ob die sich nicht schon vor langer Zeit diesen Angriff als Zero-Day-Exploit illegal auf dem Schwarzmarkt besorgt haben und das schon seit längerer Zeit heimlich zur Massenüberwachung ausnutzen und mißbrauchen?

 

auch hier sorry was soll die liste bringen

 

zumal die Stagefright Detector App beim Test hängen bleibt

 

Fuers Jiayu S3 ist eine loesung verfuegbar:
http://mobildingser.com/2015/08/08/...r-das-jiayu-s3-bereit-download-und-anleitung/

 

Gibt ja verschiedene.. Bei mir läuft die von Zimperium ohne Probleme durch. Naja, das einzige Problem ist halt, dass das m52 anfällig ist

Generell mache ich mir da aber jetzt nicht sooo nen grossen Kopf.. Ich glaube das ganze ist viel Panikmache. Ob sichs wirklich auswirkt auf irgendwas wird man erst noch sehen.

 

was willst du mit CustomRom für MTK, die schützen dich nicht davor, nur die für den drachen und da auch nur CM12.
ich glaub nicht das dies die hinterhof klitschen in china interesiert .
die browser lücke von letzten jahr, ist auch noch nicht geflickt, obwohl die viel gefährlicher ist, weil alle apps die werbung einblenden davon betroffen sind.

 

Das beste ist dann,sich zu Hause in einen Glaskasten setzen .....ohne Google,Facebook,Telefon,WhatsApp,Navigation,E Mail.......

 

einfach von automatischen download von MMS, haken weg
http://stadt-bremerhaven.de/mms-sicherheitsluecke-stagefright-textsecure/

 

Eingebettete Videos sollen aber auch eine Gefahrenquelle sein... Das automatische Herunterladen von MMS habe ich deaktiviert.
Mein Umi Hammer ist lt. Zimperium Stagefright Detector anfällig - das überrascht mich nicht...