स्टेजफ्राइट सुरक्षा समस्या: एक नियमित उपयोगकर्ता पैच के बिना समस्या को कम करने के लिए क्या कर सकता है?

एंड्रॉइड के साथ एक विशाल सुरक्षा भेद्यता प्रतीत होती है जो मूल रूप से सभी फोन को प्रभावित करती है। पीसी वर्ल्ड ने लिखा:

एंड्रॉइड फोन के विशाल बहुमत को एक विशेष रूप से तैयार किए गए मल्टीमीडिया संदेश (एमएमएस) को भेजकर हैक किया जा सकता है, एक सुरक्षा शोधकर्ता [जोशुआ ड्रेक] ने पाया है।

...

ड्रेक को एक मुख्य एंड्रॉइड घटक में कई कमजोरियां मिलीं जिन्हें स्टेजफ्राइट कहा जाता है जो मल्टीमीडिया फ़ाइलों को संसाधित करने, खेलने और रिकॉर्ड करने के लिए उपयोग किया जाता है। दोषों में से कुछ दूरस्थ कोड निष्पादन की अनुमति देते हैं और एमएमएस संदेश प्राप्त करते समय ट्रिगर किया जा सकता है, ब्राउज़र के माध्यम से विशेष रूप से तैयार की गई वीडियो फ़ाइल डाउनलोड करना या एम्बेडेड मल्टीमीडिया सामग्री के साथ एक वेब पेज खोलना।

...

MMS अटैक वेक्टर सभी में सबसे दुर्लभ है क्योंकि इसे उपयोगकर्ता से किसी भी तरह की बातचीत की आवश्यकता नहीं होती है; फोन को केवल एक दुर्भावनापूर्ण संदेश प्राप्त करने की आवश्यकता है।

उदाहरण के लिए, हमलावर दुर्भावनापूर्ण एमएमएस भेज सकता है जब पीड़ित सो रहा है और फोन की घंटी खामोश है, ड्रेक ने कहा। शोषण के बाद संदेश को हटाया जा सकता है, इसलिए पीड़ित को कभी पता भी नहीं चलेगा कि उसका फोन हैक हो गया था, उन्होंने कहा।

समस्या को कम करने के लिए एक नियमित उपयोगकर्ता क्या कर सकता है? Google Hangouts अक्षम करें?

यह केवल एमएमएस या वेब सर्फिंग के बारे में नहीं है, क्योंकि स्टेजफ्राइट पुस्तकालय है जो फोन को मल्टीमीडिया संदेशों को अनपैक करने में मदद करता है: मीडिया और फॉर्च्यून पर इस लेख को देखें ।

तो यह किसी भी एप्लिकेशन (आपके वेब ब्राउज़र सहित) के बारे में है जो मल्टीमीडिया (वीडियो क्लिप और ऑडियो रिकॉर्ड) के साथ काम करता है। एमएमएस इसका फायदा उठाने का एक आसान तरीका है, क्योंकि आपका फोन इसे डाउनलोड करने से पहले आपसे नहीं पूछेगा।

यही कारण है कि आपको मल्टीमीडिया के साथ काम करने वाले अन्य सभी अनुप्रयोगों के बारे में भी सोचना होगा और अपने फोन पर फिक्स स्थापित नहीं होने से पहले किसी भी मल्टीमीडिया अटैचमेंट को कभी नहीं खोलना चाहिए।

वेब ब्राउज़र के लिए, आप फ़ायरफ़ॉक्स 38 या उच्चतर पर स्विच कर सकते हैं , फिर आप वीडियो और / या ऑडियो सामग्री के साथ वेब पेज खोलना जारी रख सकते हैं।

संक्षेपित करते हुए:

• अपने मैसेजिंग ऐप (जो भी हो) में एमएमएस के ऑटो-रिट्रीवल को अक्षम करें ( छवियों के साथ गाइड )
• फ़ायरफ़ॉक्स 38 या बाद में स्विच करें (इसे अपने बाजार / ऐप स्टोर में ढूंढें)
• वीडियो थंबनेल को छुपाने वाले फाइल सिस्टम मैनेजर पर स्विच करें , जो कुल कमांडर के लिए डिफ़ॉल्ट है
• एक वीडियो प्लेयर पर स्विच करें जो प्रतिरक्षा है, उदाहरण के लिए, वीडियो प्लेयर MX प्लेयर ( सभी वीडियो प्रारूपों के लिए अपने "HW +" सेटिंग को सक्रिय करना सुनिश्चित करें ) hulkingticket द्वारा बताया गया

• किसी भी मल्टीमीडिया एप्लिकेशन को न खोलें या किसी अन्य एप्लिकेशन में वीडियो थंबनेल न बनाएं और यदि संभव हो तो सभी ऐप्स में स्वत: खोलने / डाउनलोड करने को अवरुद्ध करें। यह बहुत महत्वपूर्ण है । यदि आपका फोन पैच नहीं किया गया है और आप मल्टीमीडिया सामग्री के साथ किसी भी ऐप का उपयोग करते हैं , और इस ऐप में मल्टीमीडिया के स्वचालित उद्घाटन को ब्लॉक करने का कोई विकल्प नहीं है (उदाहरण के लिए ब्राउज़र: यदि आप कुछ यादृच्छिक वेब पेज खोलते हैं, तो आपको ब्राउज़र वीडियो लोड करना चाहिए, यदि वे इस वेब पेज पर हैं), फिर इस ऐप का उपयोग करना बंद करें और इस ऐप के लिए इंटरनेट एक्सेस को ब्लॉक करें (यदि आप नहीं कर सकते - ऐप को हटा दें)। यदि यह ऐप आपके लिए महत्वपूर्ण है, और आप इस ऐप में फोन फर्मवेयर या ब्लॉक मल्टीमीडिया को अपडेट नहीं कर सकते हैं, तो बस अपने फोन का उपयोग करना बंद कर दें और दूसरा खरीदें , जो असुरक्षित नहीं है।

  हां, इसका मतलब है कि सबसे खराब स्थिति में आपको फोन बदलने की जरूरत है। स्टेजफ्राइट ~ 1 बिलियन डिवाइस को प्रभावित करने वाली एक बहुत ही गंभीर भेद्यता है, जिससे आप आसानी से स्वचालित हमले का शिकार हो सकते हैं, जो सीधे आपके खिलाफ नहीं किया जाता है, लेकिन सभी 1 बिलियन उपयोगकर्ताओं को निर्देशित किया जाता है।

• अद्यतन स्थापित करें, अगर आपके पास CyanogenMod 11 या 12 (23.07.2015 को तय किया गया है, तो गितुब पर देखें )

  EDIT: 23.07.2015 से फिक्स अधूरे थे, आपको 13.08.2015 को फिक्स होने के बाद फिर से अपडेट करने की आवश्यकता हो सकती है

  EDIT 4: 13.08.2015 को फिक्स फिर से अधूरे थे, आपको अक्टूबर 2015 में Google (तथाकथित स्टेजफ्राइट 2.0) से फिक्स होने के बाद एक बार और अपडेट करने की आवश्यकता है । यदि आपके पास एड्रॉएड 5.x या 6 है, तो आपको नवंबर 2015 में Google से इन अगले सुधारों के बाद फिर से अपडेट करने की आवश्यकता हो सकती है , क्योंकि समान रूप से खतरनाक भेद्यताएं हैं (CVE-2015-6608 और CVE-2015-6609), शायद ऐसा नहीं है जिसे स्टेजफ्राइट कहा जाता है। कृपया ध्यान दें, कि आपके निर्माता से वास्तविक फिक्स का समय बाद में, या कम से कम अलग हो सकता है। जैसे, CM11 को 09.11.2015 को अपडेट किया गया , जबकि CM12.1 को 29.09.2015 को अपडेट मिला ।

  EDIT 5: 2 अधिक स्टेजफ्राइट भेद्यता Google द्वारा 01.02.2016 को बताई गई है , हालांकि, वे "केवल" एड्रोइड 4.4.4 को प्रभावित करते हैं - 6.0.1

• अपने निर्माता से अद्यतन की प्रतीक्षा करें

  EDIT2: सायनोजेनमॉड के साथ, आपके निर्माता से एक अपडेट पर्याप्त नहीं हो सकता है, क्योंकि प्रारंभिक पूर्णांक ओवरफ़्लो फिक्स के साथ समस्या है, जो 12.08.2015 को बताया गया था: मूल पूर्णांक ओवरफ़्लो फिक्स अप्रभावी । तो अपडेट के बाद भी, यह जांचने की सिफारिश की जाती है कि क्या आपका फोन अभी भी Zimperium से ऐप का उपयोग करके असुरक्षित है (स्टेजफ्राइट समस्या का पता लगाने वाला ): Zimperium Stagefright Detector App

• यदि आपके पास पहले से ही रूट है, तो GoOrDie द्वारा दिए गए फिक्स को आज़माएं। इसके अलावा इस howto गाइड देखें ।

  EDIT 3. मैंने सैमसंग S4 मिनी पर इस फिक्स की कोशिश की, और यह काम नहीं किया। इसलिए अपने फोन को रूट करने से पहले दो बार सोचें।

इस हमले को कम करने के लिए, मैंने MMSes को निष्क्रिय कर दिया है, क्योंकि मैं उन्हें वैसे भी इस्तेमाल नहीं करता। आप सेटिंग्स मेनू में ऐसा कर सकते हैं। सेल्यूलर नेटवर्क्स> एक्सेस पॉइंट्स नेम्स का चयन करें, अपने एक्सेस पॉइंट को चुनें, और APN टाइप से "mms" निकालें। मैंने एमएमएससी को भी मंजूरी दे दी है।

_{(विस्तार करने के लिए चित्र पर क्लिक करें; निर्देश जानने के लिए चित्र पर जाएँ)}

_{निर्देशों का क्रम: प्रत्येक पंक्ति में बाएं से दाएं छवियों का पालन करें}

ध्यान दें कि एंड्रॉइड समूह एसएमएस को एमएमएस में परिवर्तित करता है, इसलिए आप इसे भी अक्षम करना चाहते हैं। ऐसा करने के लिए, मैसेजिंग ऐप पर जाएं, सेटिंग्स मेनू खोलें, और ग्रुप मैसेजिंग और ऑटो-रिट्रीव को अक्षम करें।

Hangouts का नवीनतम संस्करण इस समस्या को कम करता है, ऐसा लगता है कि यह मीडिया को सिस्टम सेवा पर पारित करने से पहले कुछ अतिरिक्त जांच करता है। यह सिस्टम में अंतर्निहित समस्या को ठीक नहीं करता है, हालांकि।

आप एमएमएस ऑटो-अचीवमेंट को हैंगआउट में इसके Settings→ SMS→ अनचेक के Auto retrieve MMSमाध्यम से या इसके Settings→ Advanced→ के माध्यम से अक्षम Auto-retrieveकर सकते हैं MMS। यदि आपको उनकी आवश्यकता है तो इस साइट के विस्तृत चरण हैं।

यह समस्या वेब सर्फिंग को भी प्रभावित करती है। कॉन्फ़िगरेशन फ़ाइल media.stagefrightमें अक्षम -संबंधित गुण (यदि मौजूद है) का प्रयास करें build.prop।

माउंट रूट विभाजन के रूप में rwऔर संपादित करें build.prop। को सेट media.stagefright.enable-###करेंfalse

नोट: इसके लिए रूट एक्सेस की आवश्यकता है ।

Zimperium, भेद्यता की रिपोर्ट करने वाली कंपनी, ने स्टेजफ्राइट से संबंधित कमजोरियों के बारे में अतिरिक्त जानकारी पोस्ट की है। । Google Play Store में, एक एप्लिकेशन है जो यह पता लगाएगा कि आपके डिवाइस पर भेद्यता मौजूद है या नहीं। जाहिर तौर पर सैमसंग ने एक ऐप भी पोस्ट किया है जो सैमसंग डिवाइस पर एमएमएस को डिसेबल कर देगा, हालांकि यह प्ले स्टोर में नहीं है।

चूंकि MMS (मल्टी-मीडिया-मैसेजिंग) इस शोषण को चलाने के कई तरीकों में से एक है, आप इसे MMS कारनामों से रोक सकते हैं। अपने आप पर स्टेजफ्राइट कोई शोषण नहीं है। स्टेजफ्राइट एक मल्टीमीडिया लाइब्रेरी है जिसे एंड्रॉइड फ्रेमवर्क में बनाया गया है।

शोषण एक मल्टीमीडिया टूल में पाया गया था जो गहरे सिस्टम स्तर पर छिपा हुआ था, इसलिए लगभग सभी एंड्रॉइड वेरिएंट जिनके पास टूल है, उन्हें आसानी से लक्षित किया जा सकता है। Zimperium zLabs के अध्ययन के अनुसार, एक एकल मल्टीमीडिया पाठ में आपके डिवाइस के कैमरे को खोलने और वीडियो या ऑडियो रिकॉर्ड करना शुरू करने की क्षमता होती है, और हैकर्स को आपकी सभी तस्वीरों या ब्लूटूथ तक पहुंच भी प्रदान करता है। स्टेजफ्राइट को ठीक करने के लिए एक संपूर्ण सिस्टम अपडेट की आवश्यकता होती है (जिसे अभी भी किसी भी ओईएम द्वारा जारी किए जाने की सूचना नहीं दी गई है), क्योंकि शोषण सिस्टम-वाइड टूल में एम्बेडेड है। सौभाग्य से, एसएमएस ऐप डेवलपर्स ने पहले ही इस मुद्दे को अपने हाथों में ले लिया है और स्टेजफ़ाइट से बचने के लिए अस्थायी सुधार जारी किए हैं ताकि वीडियो एमएमएस संदेशों को आने से रोकने के लिए अपने डिवाइस के कैमरे तक स्वचालित पहुंच प्राप्त कर सकें।[स्रोत - एंड्रॉइड हेडलाइंस]

आप Play Store से Textra SMS या Chomp SMS का उपयोग कर सकते हैं, जो दावा करता है कि यह इस स्टेजफिरिट शोषण को सीमित करने में सक्षम है । स्वादिष्ट इंक द्वारा विकसित दोनों एप्स टेक्ट्रा और चॉम्प एसएमएस दोनों को बिल्कुल नए अपडेट मिले हैं, जो आपके डिवाइस द्वारा प्राप्त होते ही वीडियो एमएमएस संदेशों को कैसे सीमित करते हैं।

से Textra ज्ञानकोष लेख,

स्टेजफ्राइट शोषण तब हो सकता है जब कोई भी एसएमएस / एमएमएस ऐप एमएमएस वीडियो थंबनेल बनाता है जिसे वह वार्तालाप बुलबुले या अधिसूचना में दिखाता है या यदि कोई उपयोगकर्ता वीडियो पर प्ले बटन दबाता है या गैलरी में बचाता है।

हमने अभी Textra के रिलीज 3.1 में 'स्टेजफेयर' के लिए एक समाधान प्रदान किया है।

बहुत महत्वपूर्ण: अन्य एसएमएस / एमएमएस ऐप में, ऑटो-रिवीव को बंद करने के लिए पर्याप्त नहीं है क्योंकि जब आप दोहन को सक्रिय कर लेते हैं तो 'डाउनलोड' टैप करते हैं। इसके अतिरिक्त आपको कोई MMS पिक्स या ग्रुप मैसेज नहीं मिलेगा। एक अच्छा समाधान नहीं।

दोनों ऐप के डेवलपर के अनुसार,

एमएमएस संदेशों को स्वचालित रूप से चलाने की क्षमता से इनकार करने से आपके डिवाइस को इस नए कारनामे के लिए लक्षित किया जा रहा है।

मैं टेक्सट्रा का उपयोग करके स्टेजफ्राइट से कैसे बचा सकता हूं?

Stagefright Protectionअपनी Textra ऐप सेटिंग के तहत चालू करें ।

_{स्क्रीनशॉट (छवि को बड़ा करने के लिए क्लिक करें)}

तो यहाँ है कि क्या होता है यदि आप ऐप के स्टेजफ्राइट प्रोटेक्शन को सक्रिय करते हैं और यदि आपको स्टेजफ्राइट शोषण संदेश प्राप्त होता है,

1. स्टेजफ्रेट संरक्षित: जैसा कि आप नीचे देख सकते हैं, संदेश डाउनलोड नहीं किया गया था और थंबनेल को हल नहीं किया गया है, इसलिए यदि इस वीडियो में स्टेजफ्राइट को लक्षित करना है तो यह अभी तक अपने कोड को निष्पादित करने में सक्षम नहीं होगा। संदेश के नीचे एक अच्छा "स्टेजफ्रेट प्रोटेक्शन" लेबल है।

_{स्क्रीनशॉट (छवि को बड़ा करने के लिए क्लिक करें)}

2. यदि मैं स्टेजफ्रेट संरक्षित संदेश पर क्लिक करूँ तो क्या होगा? : जब आप एमएमएस संदेश पर प्ले बटन दबाते हैं: एक भी बड़ा बॉक्स, एक भी बड़ा प्ले बटन और एक बड़ा "स्टेजफ्राइट" लेबल के साथ।

_{स्क्रीनशॉट (छवि को बड़ा करने के लिए क्लिक करें)}

3. क्या आप अभी भी मीडिया को खोलना और प्रभावित करना चाहते हैं? : अंत में, अंतिम बार प्ले बटन पर क्लिक करने से आपको एक अच्छा चेतावनी संदेश प्राप्त होगा जो आपको याद दिलाएगा कि डाउनलोड किए गए वीडियो में स्टेजफ्राइट नामक एक शोषण हो सकता है।

( नोट: कोई ज्ञात शोषण नहीं है, और अगर इसका नाम स्टेजफ्राइट नहीं होता तो स्टेजफ्राइट बस मल्टीमीडिया लाइब्रेरी का नाम होता है जो शोषित होने के लिए असुरक्षित है )।

_{स्क्रीनशॉट (छवि को बड़ा करने के लिए क्लिक करें)}

OKAYबटन दबाने पर फिर आप जो भी वीडियो देखने जा रहे हैं, वह सामने आ जाएगा और यह बात है। अगर कहा जाता है कि वीडियो में वास्तव में एक ऐसा शोषण होता है जो स्टेजफ्राइट को निशाना बनाता है, तो वास्तव में, इस समय इसे निष्पादित करेगा।

स्रोत: फेनड्रॉइड

यदि आप इस बारे में उत्सुक हैं कि क्या आप पहले से प्रभावित हैं और स्टेजफ्राइट शोषण का शिकार हैं, तो PlayStore से यह ऐप स्टेजफ्राइट डिटेक्टर डाउनलोड करें जो zLabs (Zimperium research labs) द्वारा जारी किया गया था जिसने सबसे पहले Google को इस मुद्दे की सूचना दी थी।

अपडेट किया गया: [18-09-2k15]

मोटोरोला ने आधिकारिक तौर पर स्टेजफ्राइट सुरक्षा मुद्दे के लिए 10 अगस्त को परीक्षण के लिए वाहक के लिए एक सुरक्षा पैच जारी किया है और यह वाहक प्रदाता के आधार पर जनता के लिए जारी किया गया है। यह मंचों में उल्लेख किया गया है कि,

जैसे ही एक पैच तैयार होता है आप अपडेट को डाउनलोड और इंस्टॉल करने के लिए अपने फोन पर एक अधिसूचना देखेंगे। हम सभी को समय-समय पर जाँच करने के लिए प्रोत्साहित करते हैं कि क्या उनके पास सेटिंग्स> फ़ोन> सिस्टम अपडेट में जाँच करके नवीनतम सॉफ़्टवेयर है।

और यदि आप मोटोरोला का उपयोग करते हैं और फिर भी आपको सुरक्षा पैच नहीं मिलता है, तो आप नीचे दिए गए सुरक्षा जोखिम से बचने के लिए निम्न पढ़ सकते हैं,

यदि मेरे फोन में पैच नहीं है तो मैं अपनी सुरक्षा के लिए क्या कर सकता हूं? सबसे पहले, केवल उन लोगों से मल्टीमीडिया कंटेंट डाउनलोड करें (जैसे अटैचमेंट या ऐसी कोई चीज़ जिसे देखने के लिए उसे डिकोड करने की आवश्यकता हो) जिसे आप जानते हैं और उस पर भरोसा करते हैं। आप MMS को स्वचालित रूप से डाउनलोड करने के लिए अपने फ़ोन की क्षमता को अक्षम कर सकते हैं। इस तरह आप केवल विश्वसनीय स्रोतों से डाउनलोड करने का विकल्प चुन सकते हैं।

• मैसेजिंग: सेटिंग्स में जाएं। "MMS को स्वतः पुनर्प्राप्त करें" को अनचेक करें।
• Hangouts (यदि एसएमएस के लिए सक्षम है; यदि ग्रेय-आउट, कार्रवाई करने की कोई आवश्यकता नहीं है): सेटिंग्स> एसएमएस पर जाएं। ऑटो अनचेक करें एमएमएस पुनः प्राप्त करें।
• Verizon Message +: सेटिंग्स> उन्नत सेटिंग्स पर जाएं। ऑटो पुनर्प्राप्त अनचेक करें। "वेबलिंक पूर्वावलोकन सक्षम करें" को अनचेक करें।
• व्हाट्सएप मैसेंजर: सेटिंग्स> चैट सेटिंग्स> मीडिया ऑटो-डाउनलोड पर जाएं। "मोबाइल डेटा का उपयोग करते समय," "वाई-फाई पर कनेक्ट होने पर" और "रोमिंग के दौरान" के तहत सभी वीडियो ऑटो डाउनलोड को अक्षम करें।
• हैंडसेंट नेक्स्ट एसएमएस: सेटिंग में जाएं> मैसेज सेटिंग्स प्राप्त करें। ऑटो पुनर्प्राप्त करें अक्षम करें।

आगे पढ़ें:

स्टेजफ्राइट कमजोरियों से कैसे बचाएं?
स्टेजफ्राइट के लिए अन्य हमले वैक्टर क्या हैं?

एड-वेयर एमएक्स प्लेयर स्टेजफ्राइट-संबंधित बग के बिना वीडियो चलाने का दावा करता है । आपको इन चित्रों पर दिखाए गए सभी सलेटी बटन और नीले-चेक किए गए सभी बटनों का चयन करना होगा:

आपको सभी वीडियो प्लेयर ऐप्स के डिफॉल्ट को भी साफ़ करना होगा, फिर एमएक्स प्लेयर को डिफ़ॉल्ट प्लेयर ऐप के रूप में चुनें।

डिस्क्लेमर: यह ऐप दो संस्करणों में आता है: एक विज्ञापन के साथ और दूसरा "प्रो" 6.10 € के लिए । मैं इसके लेखकों से संबंधित नहीं हूं। इस पद से मुझे कोई राजस्व नहीं मिलेगा। मुझे केवल एक निश्चित मात्रा में प्रतिनिधि अंक मिल सकते हैं।

यह बहुत ही जवाब के विचार के लिए hulkingticket के लिए धन्यवाद ।