Je viens d'être informé de la vulnérabilité StageFright dans les appareils Android.
Un message MMS spécialement conçu peut accéder aux données sur le téléphone; il s'agit donc probablement d'un débordement de tampon avec une élévation de privilèges ultérieure.
Les détails n'ont pas encore été divulgués, mais la question pratique est: comment les utilisateurs ordinaires peuvent-ils se défendre contre une attaque utilisant cette vulnérabilité?
Il semble que ne pas ouvrir les messages MMS serait la partie la plus importante.
Y a-t-il d'autres mesures que les utilisateurs finaux devraient prendre pour se prémunir contre cette vulnérabilité?
Vous devez désactiver le téléchargement automatisé de fichiers multimédias via SMS/MMS, plusieurs services l'utilisent. En fonction de celui que vous utilisez, vous devez le désactiver dans les paramètres par service que vous utilisez.
Pour google messenger:
Plus peut être trouvé ici .
En plus de cela, n'ouvrez aucun message contenant des fichiers multimédias d'une personne que vous ne connaissez pas ou en qui vous avez confiance car vous pouvez toujours télécharger le fichier manuellement et le déclencher de cette façon.
Notez que la partie SMS/MMS n'est pas la vraie menace ici, c'est juste un moyen d'obtenir des fichiers multimédias malveillants sur votre téléphone et de les faire s'exécuter sans intervention de l'utilisateur. La menace réelle réside dans le traitement des fichiers multimédias. La réception et la visualisation d'un fichier multimédia via d'autres canaux seront donc tout aussi dangereuses.
Pour Android 4.1 "Jelly bean" avec l'application régulière "Messages":
Menu> Paramètres> Messages multimédias (MMS)> Récupération automatique -> décocher
Enraciner le téléphone et installer un stock non opérateur ROM ou un tiers à jour ROM peut être une solution, bien que le nouveau problème soit c'est pourquoi vous devriez faire confiance à certains ROM postés par un utilisateur pseudonyme sur un forum (cela peut être problématique surtout dans les environnements d'entreprise).
Une solution à long terme serait d'acheter des appareils avec le firmware directement fourni par son fabricant et non par un support stupide. Après tout, aucun FAI n'approuve jamais les mises à jour Windows (et tout fonctionne bien), alors pourquoi devrait-il en être autrement sur mobile?
Comme beaucoup de gens l'ont déjà écrit dans les commentaires, il ne s'agit pas de MMS, mais d'un bug dans la bibliothèque multimédia, donc désactiver MMS ne fera que contribuer à éviter le piratage de votre téléphone, lorsque vous n'utilisez pas , mais le maintient allumé et connecté au réseau cellulaire.
Si vous utilisez votre téléphone, vous pouvez toujours être piraté via un navigateur Web ou TOUT AUTRE APP, qui fonctionne avec le multimédia.
Je fournis une réponse complète ici: Problème de sécurité Stagefright: que peut faire un utilisateur régulier pour atténuer le problème sans correctif? Sur Android.stackexchange.com puisque cette question est une copie de celle-ci.
En répondant à la question d'origine, il existe 3 façons pour un utilisateur commun (si cela signifie que l'utilisateur n'est pas en mesure de rooter son téléphone et/ou d'installer CyanogenMod sur son téléphone) de protéger:
1) Désactivez la récupération automatique des MMS, installez Firefox 38+ et peut-être le lecteur MX (et désactivez-y l'utilisation de stagefright). Supprimez toutes les autres applications sur le téléphone, y compris Facebook, Twitter, E-mail, etc., où que tout contenu multimédia puisse être. S'il n'est pas possible de supprimer, par exemple, une application de messagerie, supprimez simplement tous les comptes qui s'y trouvent, afin que rien ne soit téléchargé depuis Internet. Il est désormais possible d'utiliser le téléphone pour la navigation Web, les appels et les SMS.
2) Éteignez le téléphone et achetez un autre Android téléphone avec stock Android de Google (par exemple Nexus)
3) Installez la mise à jour si elle est disponible. Sinon, veuillez sélectionner l'une des options 1 ou 2.