web-dev-qa-db-ja.com

一般的なユーザーはどのようにしてStageFrightの脆弱性を防ぐことができますか?

私はちょうど StageFrightの脆弱性 Androidデバイスで通知されました。

特別に細工されたMMSメッセージは、電話のデータにアクセスする可能性があります。そのため、後続の権限昇格によるバッファオーバーフローであると考えられます。

詳細はまだ明らかにされていませんが、実用的な問題は、一般のユーザーがこの脆弱性を利用した攻撃からどのように防御できるかということです。

MMSメッセージを開かないことが最も重要な部分であるようです。
エンドユーザーがこの脆弱性から身を守るために実行する必要がある他の手順はありますか?

SMS/MMSを介したメディアファイルの自動ダウンロードを無効にする必要があります。これを使用するサービスは複数あります。どちらを使用するかに応じて、使用するサービスごとの設定でこれを無効にする必要があります。

Googleメッセンジャーの場合:

Google messenger

詳細は こちら をご覧ください。

また、知らない人や信頼できない人からのマルチメディアファイルを含むメッセージを開かないでください。手動でファイルをダウンロードして、ファイルをそのようにトリガーできます。

SMS/MMSの部分は本当の脅威ではないことに注意してください。これは、悪意のあるメディアファイルを携帯電話に取得し、ユーザー入力なしで実行させる方法にすぎません。実際の脅威は、メディアファイルの処理方法にあります。したがって、他のチャネルを介してメディアファイルを受信して​​表示することも同様に危険です。

64
BadSkillz

Android 4.1「Jelly bean」と通常の「メッセージ」アプリの場合:

メニュー>設定>マルチメディアメッセージ(MMS)>自動取得->オフ

8
Neil McGuigan

携帯電話をルート化して、キャリア以外の在庫をインストールするROMまたは最新のサードパーティROMは、新しい問題ですがなぜ、偽名のユーザーがフォーラムに投稿したROM=これは特に企業環境で問題になる可能性がある)を信頼すべきなのか。

長期的な解決策は、愚かなキャリアではなく、製造元が直接提供するファームウェアを搭載したデバイスを購入することです。結局のところ、ISPがWindows Updateを承認することはありません(そしてすべてが正常に機能します)。

5
Anonymous

多くの人がすでにコメントで書いているように、これはMMSに関するものではなく、マルチメディアライブラリのバグに関するものであるため、MMSを無効にすると、電話をハッキングされないようにするのに役立ちますそれをオンにし、セルラーネットワークに接続したままにします。

携帯電話を使用している場合でも、マルチメディアで動作するウェブブラウザやその他のアプリからハッキングされる可能性があります。

私はここに完全な答えを提供します: Stagefrightのセキュリティの問題:通常のユーザーがパッチなしで問題を軽減するために何ができるか?Android.stackexchange.comで この質問はその質問の複製です。

元の質問に答えると、一般的なユーザーが3つの方法で保護します(一般的な方法では、ユーザーが自分の電話をroot化できないか、CyanogenModを電話にインストールできない場合)。

1)MMSの自動取得を無効にし、Firefox 38以降、そして場合によってはMXプレーヤーをインストールします(そしてそこにステージフライトの使用を無効にします)。 削除FacebookやTwitter、電子メールなど、マルチメディアコンテンツが存在する可能性のある場所にある電話上の他のすべてのアプリケーション。電子メールアプリなどを削除できない場合は、そこにあるすべてのアカウントを削除するだけで、インターネットから何もダウンロードされません。これで、電話を使用してWebブラウジング、通話、SMSを行うことができます。

2)電話をオフにして、別のAndroid在庫のある電話Android Google(例:Nexus))を購入します

3)入手可能な場合は、アップデートをインストールします。そうでない場合は、オプション1または2から選択してください。

3
Andrey Sapegin