Stagefright Lücken

  • 39 Antworten
  • Letztes Antwortdatum
M

Monteaup

Neues Mitglied
11
Zum Android Desaster... So wie ich das sehe sollten alle Lollipop Firmwares die im Juli herauskamen die Lücken geschlossen haben. Der Rest folgt.

Hi. I want to expand a bit on the post Mark provided. Hope this helps.

After Google informed us in late June, we've been working to integrate, test and deploy the patches. All of our newly launched products (Moto X Style, Moto X Play, and Moto G 3rd Gen) will have the patch integrated in the software. We'll include it in the remaining planned Lollipop upgrades as soon as possible. We’re working with our partners to update phones that have already received the Lollipop upgrade. We are still working through the feasibility to support older devices that are not getting Lollipop. We don't have any timing for individual device updates right now.

We are not aware of any known or reported incidents of anyone attempting to take advantage of this possibility to harm Android phone owners. However, there are steps you should take to protect yourself until the patch is available.

First, only accept multimedia content (such as attachments or anything that needs to be decoded to view it) from people you know and trust. Second, you can disable your phone’s capability to download MMS automatically. That way you can only choose to download from trusted sources.

Here are the steps to auto-disable download for some common messaging apps:
Messaging: go to Settings. Uncheck “Auto-retrieve MMS.”
Hangouts (if enabled for SMS; if greyed-out, no need to take action): go to Settings > SMS. Uncheck auto retrieve MMS.
Verizon Message+: go to Settings > Advanced settings. Uncheck Auto-retrieve. Uncheck “Enable weblink preview.”
Whatsapp Messenger: go to Settings > Chat settings > Media auto-download. Disable all video auto downloads under “When using mobile data,” “When connected on Wi-Fi” and “When roaming.”
Handcent Next SMS: go to settings>Receive message settings. Disable auto retrieve.

I'll do my best to provide updates as they're available. Thanks.
 
Gibt es den Link auch ohne Anmeldung? ;)

Alternativ stelle einen Screenshot online.
 
Oh, danke für den Link. Komisch, jetzt will er sogar für ein Zitat ein login.
 
We will begin delivering software to our carrier partners to test starting August 10th for the phones listed above. Many carriers have unique requirements that result in unique variants of software. As a result, there are over 200 variants of software that we are working to patch, test and deploy to our carrier partners for their testing and approval. We are prioritizing our deployments of the patch to the largest groups of consumers first and working closely with our carrier partners to make the patch available as soon as possible.

Bitte genau lesen und wiedergeben: Sie liefern den Patch an die Netzbetreiber aus, die wiederum dann mit dem Testen anfangen. Und der Patch soll dann wiederum, von den Providern, so schnell wie möglich (keine genaue Zeitangabe!) verfügbar gemacht werden.

Also ist es mühselig da auf eine schnelle Auslieferung zu hoffen, bzw. nachzufragen.
 
Zuletzt bearbeitet:
Oh Entschuldigung der Herr. Dann wird es eben erst an die Provider verteilt und dann zur Verfügung gestellt.

Immerhin passiert etwas.
 
Dieser kleine Umweg kann schnell mal ein paar Wochen Verzögerung bedeuten, also nicht unbedingt unwichtig.
 
Genau das ist eben der Punkt! Motorola ist damit raus aus der Nummer und kann somit Verzögerungen bei der Verteilung auf die Provider schieben. Und gerade hier in Deutschland ist ja bekannt, wie lange man auf die neuen Firmwares "warten darf".
 
Und was ist jetzt der Samstag-Morgen-schlechte-Laune-Aufreger bei der Aussage von @michaelkamrad ?
Motorola wird am 10.08 anfangen ein Update für fast alle Geräte bereitzustellen.
Das heißt, er hat absolut recht, weil Motorola ab dem 10.08.2015 anfangen wird, ein Update für fast alle Geräte bereit zu stellen.
Ob es dann am 10./11.08.2015 oder als Android M oder erst im Jahr 2037 den Endanwendern zur Verfügung gestellt wird, hat er nämlich nicht gesagt.
Also, alles absolut korrekt ... ihr solltet euch nochmal hinlegen. :-D

Ich finde es nett von ihm, dass er uns hier informiert ...
 
  • Danke
Reaktionen: michaelkamrad
Genau der Punkt an:
michaelkamrad schrieb:
Motorola wird am 10.08 anfangen ein Update für fast alle Geräte bereitzustellen.
ist doch der unbedarfte, nicht englischsprechende Anwender: Dieser liest nur, daß es Motorola am 10.8. bereitstellt und jammert dann in zig Threads, daß er/sie nichts erhält.

Die News an sich ist wichtig. Das spreche ich auch nicht ab. Aber dann sollte man nicht einfach den Link "hinklatschen" sondern einfach ein paar Zeilen in Deutsch dazu schreiben, daß jeder den richtigen Zusammenhang erkennen kann. ;)

*edit* Diese "hauptsache-als-Erster-was-ringerotzt Mentalität" greift hier leider immer mehr um sich. Man sollte eben bedenken, daß das hier kein Wettbewerb ist, wer als erster eine News bringt. Das Forum ist zum Informationsaustausch und zur Hilfe gedacht. ;)
 
Dafür haben wir ja auch sehr nette Leute hier ;-)

BTW:
Deutsche, die immer noch kein Englisch verstehen (trotz Pflichtfach), aber jeden Tag mehr Anglizismen verwenden als deutsche Begriffe, um cool zu sein, sind m. M. n. irrelevant (und auch eher nicht an Stagefright und Sicherheit interessiert).
 
Dachte mit "anfangen ein Update zur Verfügung zu stellen" und dem Link zum nachlesen würden manche schon davon ausgehen, dass es natürlich nicht gleich auf ihrem MotoG landet.

Das nächste mal schreibe ich es ausführlich hin so dass es alle kapieren.

Hoffe das Thema hat sich dann hiermit erledigt und alle wissen nun bescheid.

Back to topic.
 
@mrrbr - Da hast du auch wieder recht. - Man sollte seine wertvolle Zeit nicht den Leuten opfern, die sich nie selbst aktiv informieren und diesen Menschen hier im Forum überhaupt keine Infos mehr frühzeitig zur Verfügung stellen und keine Fragen mehr (mehrfach, geduldig und kompetent) beantworten. - Dann haben sie auch keine Chance mehr, einem als "Dank" dumm zu kommen ... Schönes Wochenende.
 
Und jetzt kippen wir uns alle einen schönen großen kalten Wasser über den Kopf (nein, bitte nicht Ice-Bucket-Challenge, schade um das Geld, dass zum Großteil in irgendwelchen Kanälen verschwindet) und kühlen uns etwas ab. ;)
Ich sehe die Diskussion darum, wie eine Information zu erfolgen hat, hiermit als beendet an. ;)
 
Darf die Frage erlaubt sein wie dieses Update kommt ???

kommt das über den playstore oder von Motorola selber

und nein ich schreibe jetzt nicht das ich es noch nicht habe und auch keine diskusion anfangen wollte wer das schon hat

Danke Dennis
 
Die Stagefright-Patches kommen nicht über den Play Store, sondern über ein OTA(-Update) der FIrmware von Motorola selbst, aber nicht für alle Geräte.

Die gerade aktuelle Liste:
  • Moto X Style (patched from launch = bereits beim Verkaufsstart okay, da 5.1.1)
  • Moto X Play (patched from launch = bereits beim Verkaufsstart okay, da 5.1.1)
  • Moto X (1st Gen, 2nd Gen)
  • Moto X Pro
  • Moto Maxx/Turbo
  • Moto G (1st Gen, 2nd Gen, 3rd Gen)
  • Moto G with 4G LTE (1st Gen, 2nd Gen)
  • Moto E (1st Gen, 2nd Gen)
  • Moto E with 4G LTE (2nd Gen)
  • DROID Turbo
  • DROID Ultra/Mini/Maxx

Der allgemeine Ablauf der Beseitigung solcher Sicherheitslücken:

Google fixt(e) das Problem im zentralen AOSP-Code und stellte diese Korrekturen allen ROM-Entwicklern zur Verfügung.
Diese werden (oder haben bereits) damit begonnen, diesen (zentralen, neuen) Code in ihre ROMs (die Firmware der Geräte) zu integrieren und zu testen.
Sind die Tests zufriedenstellend, bekommen die Retail Geräte (der Phone-Hersteller, z. B. Google, Motorola, HTC, LG, Samsung, Huawei etc.) direkt ein Update (OTA oder manuell zu installieren), wenn dies so entschieden wurde (also nicht alle).
Die nochmals veränderten ROMs der Gerätehersteller müssen bei den Mobilfunk-Providern ebenfalls noch ein weiteres Mal durch eine Test-Sequenz und werden dann an die Besitzer von gebrandeten ROMs (subventionierte Phones von z. B. Vodafone, T-Mobile, Verizon, Boost etc.). verteilt.

Die (zeitliche) Vererbungskette des Codes ist:

AOSP Code (kürzeste Wartezeit)
> Custom ROMs (z. B. CyanogenMod)
> Google Code (Nexus-Geräte)
> Phone-Hersteller Code (z. B. Motorola)
> Mobilfunkanbieter Code (längste Wartezeit, z. B. T-Mobile gebrandetes Motorola-Gerät)

Ein Beispiel:

Mein Moto E 2015 LTE hat noch Stock-ROM 5.0.2 mit Stagefright-Sicherheitslücken, das US-OTA-Update auf 5.1 hat ebenfalls die Lücken noch, ein deutsches Update ist nicht in Sicht.

Das gleiche Gerät mit einem Custom ROM CM 12.1 (Android 5.1.1) ist bereits seit Wochen durchgepatcht und hat keine Sicherheitslücken bzgl. Stagefright.
 
Zuletzt bearbeitet:
  • Danke
Reaktionen: michaelkamrad
Meine beiden Nexus-Geräte (4,9) habe ich per FactoryImage bzw., OTA Update schon patchen können. Das ging wie angekündigt auch recht fix. Da waren sie mal richtig schnell...fehlt noch mein Moto X (2014). Wenn Motorola aber nach eigenen Angaben am 10.08. die Patches an die Carrier rausgegeben hat und von zeitnahen (der Begriff ist soooo dehnbar) Updates spricht, dürften die Carrier schon fleißig am Testen sein. Nichts Genaues weiß man nicht. Was juckt mich das aber als Besitzer eines Retailgerätes ? Richtig, gar nicht...die OTA sollten also schon auf dem Weg sein, aber nirgends ließt man etwas davon und wurde auch von Motorola nicht mal erwähnt. Zumal ja auch noch bekannt wurde, dass die Patches u.U. auch noch selber Bugs mitgebracht haben. Also wie immer: rechne Dir nichts aus, es wird nichts draus. :lol: oder wie überbackener Käse: zieht sich noch etwas... Solange gilt wie überall: aufpassen was man anklickt/tippt und MMS/Medien-Autodownload in den jeweiligen Apps deaktivieren.
 
Zitat von BarneyGonDefy+:
Mit der neusten Version von Stagefright Detector ist CVE-2015-3864 rot.

Und das ist auch mit der nightly vom 16.8. leider so geblieben. (bezieht sich auf die ROM von Quarx für's Motorola Defy)

Wenn man die andere APP von Zimperium (Zips) installiert, wird das Handy geschützt. Auch ohne die geforderte Anmeldung, auch ohne Google-Konto etc. Einfach öffnen, wieder raus und den Detector aufrufen. Habe das auf 3 Geräten und unter CM11 (Defy+) und auch CM12 (Xperia M) getestet, der Detector sagt dann jedesmal, es sei alles ok!

Zitat von hook69:
@Netbook: Zips muss aber installiert bleiben. Und stagefright Detector sagt dann sowas wie "protected by Zips".- im Gegensatz zu "not vulnerable", wenn es betriebssystemseitig gefixt (sein wird).

Ja, das ist korrekt. Habe noch zwei andere Detektoren ausprobiert, der eine sagt: nicht durch die (gepatchte?) build.prop geschützt, lässt einen aber rätseln, ob man verwundbar ist, der andere Stagefright Detector – Android-Apps auf Google Play sagt: Not vulnerable!

Und nachdem manche Roms auf älteren Geräten gar nicht mehr gefixed werden (z.B. Kitkat für's Moto G, wie überhaupt wohl die allermeisten CM11-Versionen, vor allem jene, für dies es mittlerweile CM12-Ersatz gibt) ist Zips m.E ein tragbarer Kompromiss.

Ermittle gerade, ob das auf Non-Root und älteren Android-Versionen (2.3 aufwärts) auch funktioniert...
 
  • Danke
Reaktionen: guenter1
Zurück
Oben Unten