Læs mere rent teknisk om hullet i Android og om, hvordan du kan lukke det selv her.
- Center for Cybersikkerhed: Sandsynligt at Stagefright vil blive forsøgt udnyttet inden for de næste måneder
- Efter blotlægning af Stagefright 2.0: Nu tilbageholder Google sårbarhedsinfo fra den åbne Android-kode
- Sådan belønner Google sårbarheder i Android
- Open source-patch blotlagde kritisk sårbarhed i Android
- Forsker: Det bliver nok bedre med Android
- Ingeniørforeningen dropper Android
- Kritiske opdateringer ignoreres: Millioner af Android-telefoner fyldt med sikkerhedshuller
- Cambridge-forskere: Her er de producenter, der er ringest til at opdatere Android
- Sony Mobile maner til ro trods blodrød sårbarheds-detektor: Det er falsk alarm
- HTC: Månedlige Android-opdateringer er en urealistisk utopi
- Stagefright 2.0 ryster igen sikkerheden på en milliard Android-telefoner
- Stagefright-mareridtet fortsætter: Angrebskoden er blevet offentliggjort
- Denne artikel
- Alvorligt sikkerhedshul rammer 950 mio. Android-enheder
- emailE-mail
- linkKopier link

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
Fortsæt din læsning
Android 13 er på gaden med mere privatliv og sikkerhed
Android18. august 2022
- Sortér efter chevron_right
- Trådet debat
Gå ind i Meddelelser (eller hvad din SMS-app hedder), Indstillinger, Multimediemeddelelser og slå Automatisk modtagelse: Hent beskeder automatisk FRA. Og så skal du i fremtiden lade være med at åbne MMS-meddelelser fra folk du ikke regner med at få MMS'er fra ;-)
Gå ind i Meddelelser (eller hvad din SMS-app hedder), Indstillinger, Multimediemeddelelser og slå Automatisk modtagelse: Hent beskeder automatisk FRA.
Det er en måde at håndtere det på, men jeg vil ikke anbefale den, primært på baggrund af hvordan stagefright-exploitet fungerer.
Stagefright er et medie-library i AOSP, der bruges til at afspille f. eks. MP4 filer, og bliver derfor kun kaldt når en MMS indeholder en video. Enten skal modtagelse af MMS helt slåes fra, dette kan gøres ved at slette MMS APN under mobilindstillinger, eller anvende en SMS / MMS app, der kan vurdere og advare brugeren FØR stagefright biblioteket kaldes. Textra har eksempelvis indbygget stagefright beskyttelse som undersøger om MMSen indeholder videoindhold før den afspilles.
En vigtig pointe er at MMS ikke er den eneste angrebsvektor. En HTML5-side, der indeholder en videofil kan også bruges til at udløse fejlen. Dette mener jeg personligt er en større nyhed, da en hacker kan indlejre dette i eksempelvis et ad-banner og så har du medie-adgang til alle besøgende Android-enheder.
MMS bruges i - ihvertfald i Danmark i langt mindre grad end browseren. Hvorfor er den vinkel ikke dækket?
Jeg er enig med, mht. til at det ikke er en MMS fejl, men MMS blot bruges i demonstration.
Men Jacob løsning er god nok til ikke at modtage MMS fra fremmede. Hvis man ikke henter dem, kan stagefright heller ikke udføres.
Det ligner da adgang igennem et usb kabel. Altså ikke over internettet.
Det er en demonstration.
Hvorfor man har valgt at fokusere på MMS, må helt klart være grundet øget mediedækning og hype. Vi hører jo så tit om 'ondsindede hjemmesider' og phishing-angreb. Denne angrebsvinkel kan derimod bruges yderst målrettet - i nogle tilfælde uden hjælp fra 'offeret'. Selvom de færreste af os efterhånden stadig bruger MMS, så tror jeg stadig de fleste af os har abonnementer der understøtter det.
Grunden til at de har valgt at udføre angrebet på ICS, er nok de exploit mitigation forbedringer på nyere versioner, som har voldt for store problemer.
Hvis de blev bypassed, samt exploitet pakket med et EoP exploit, så er der sku ikke meget mere at bede om. Det ville være NSAs våde drøm.
Grunden til at de har valgt at udføre angrebet på ICS, er nok de exploit mitigation forbedringer på nyere versioner, som har voldt for store problemer.
Problemet er blevet patchet i den nuværende version af Android. Problemet er nærmere, at der er mange telefoner der ikke kan opdateres til Android 5.
Det er ikke lukket på Android 5.0.2, min OnePlus One er i hvert fald åben for angrebet ifølge stagefright tjekker værktøjer. Så bare fordi man er på Android 5.x skal man ikke vide sig sikker.Problemet er blevet patchet i den nuværende version af Android. Problemet er nærmere, at der er mange telefoner der ikke kan opdateres til Android 5.
Jeg hørte i en podcast at Cyanogen skulle have en patch liggende på deres hjemmeside. Har ikke undersøgt det nærmere, men hvis det er rigtig kan det vel ikke vare længe inden din OPO også har det.Det er ikke lukket på Android 5.0.2, min OnePlus One er i hvert fald åben for angrebet ifølge stagefright tjekker værktøjer. Så bare fordi man er på Android 5.x skal man ikke vide sig sikker.
Ja hullet er lukket i de såkaldte nightly versioner af Cyanogen, og bliver snart frigivet som normal OTA opdatering, så jeg er ikke bekymret for min OPO. Jeg ville bare påpege at Android 5.x altså også er sårbar, i modsætning til hvad der tidligere blev skrevet i tråden.Jeg hørte i en podcast at Cyanogen skulle have en patch liggende på deres hjemmeside. Har ikke undersøgt det nærmere, men hvis det er rigtig kan det vel ikke vare længe inden din OPO også har det.
Jeg ville bare påpege at Android 5.x altså også er sårbar, i modsætning til hvad der tidligere blev skrevet i tråden.
Rettelse: Helt rigtigt, det er ikke lukket i Android som jeg skrev tidligere i tråden. Det er derimod blevet patchet i ZHA, PrivatOS og Cyanogen nightlies, så det kan ikke vare længe inden en officiel sikkerhedsopdatering er på trapperne.
Det er en demonstration.</p>
<p>Hvorfor man har valgt at fokusere på MMS, må helt klart være grundet øget mediedækning og hype.
Jeg beklager at jeg ikke har været klar nok i mit spørgsmål. Det jeg mente var hvorfor Version2 kun har dækket den målrettede angrebsvektor og ikke den bredspektrede, der heller ikke kræver andet end brugeren åbner eksempelvis EB.dk hvor et banner fra ad.x.com (sitet behøver ikke være hacked, indholdet kan komme fra en annoncør) leverer en mp4 der crasher stagefright og laver callback til eksempelvis en C&C server, der nu har fået en ny undersåt i sit botnet.
Der findes allerede Proof of Concept kode der bruger stagefright-exploitet på denne måde.
Videoen demonstrerer at der faktisk sker en EoP via et kendt bug. Der flyder allerede rygter fra semi-pålidelige kilder om at NSA udnytter stagefright.