Hogyan védekezzünk az Android Stagefright sebezhetősége ellen?

Android logó
Az utóbbi két-három napban még a nagyobb híroldalak is, viszonylagos pánikoltató hangnemben kezdtek el beszélni a nyilvánosságra került Androidos sebezhetőségről. Bár komoly hibáról van szó, minden eszközünk megvan arra, hogy megfelelően védekezzünk.

Mit kell tudni a sebezhetőségről?

Maga a hiba az Androidos főrendszerben van. A „lámpaláz” aka. libstagefright.so komponens felel azért, hogy a készülékeden a videós tartalmak megfelelően jelenjenek meg. Mivel rendszerkomponens, ezért Google Play-en keresztül nem frissíthető, azaz magát az operációs rendszert kell(ene) frissíteni. A gond ott van, hogy a gyártók nem igazán szeretik frissíteni a több éves készülékeiket, márpedig eme komponens sajnos az Android 2.2-től felfele mindenkit érint.

A komponens minden videó tartalomnál aktiválódik, és ez az igazi gond. Ugyanis ha kapsz egy rosszindulatú MMS-t, amiben videó tartalom van, a készülék letölti, megpróbálja feldolgozni és bang, kész a chocapic baj. Ez a jelenség az, ami pánikra kényszerítette a híroldalakat.

Mit tudok tenni?

Példáimat Android 4.1.-en fogom bemutatni, kiindulópontnak akkor is jó, ha frissebb vagy régebbi rendszert használsz.

MMS automatikus letöltésének kikapcsolása

Az elsődleges veszélyforrás az MMS, de ettől a legkönnyebb megszabadulni. Az üzenetek alkalmazás, beállítások menüpontjában az „Automatikus letöltés” beállítást ki kell kapcsolni. Ezzel a készülék nem tölti le automatikusan az MMS-t. Többen is javasolják, hogy magát a szolgáltató APN beállítását töröljük a készülékből. Ez elég drasztikus megoldás, és ha azon ritka mohikánok egyike vagy, aki használja a szolgáltatást, nem fogsz neki örülni. Így viszont kapsz egy értesítést arról, hogy MMS-ed érkezett, te pedig eldöntheted, hogy mit akarsz vele kezdeni. Nem kell letöltened, ha nem bízol meg a feladóban, esetleg olyan ember küldte, akitől nem számítottál rá.
MMS automatikus letöltés

Böngésző beállítások szigorítása

Mivel videós tartalmakról van szó, ezért minden olyan alkalmazás érintett, ami ilyenekkel foglalkozhat. Ezek közül a legveszélyeztetettebb alkalmazás a böngésző, hiszen lépten-nyomon valami videóba akadhat az ember. Két böngészőn fogom megmutatni, hogyan lehet a videók automatikus lejátszását tiltani és csak érintésre aktiválni.

Gyári Android böngésző

Az Android saját böngészője is biztosít némi kontrollt a megjelenített tartalom felett. Ehhez menjünk az alkalmazásban a Beállítások → Speciális menüpontra, ahol a „Bővítmények engedélyezése” értéke legyen igény szerinti. Aki nem akar böngészőben ilyesmit látni, az nyugodtan ki is kapcsolhatja.
Gyári Android böngésző

Firefox

Firefox esetén még egyszerűbb a dolgunk. Beállítások → Megjelenítés → Automatikus lejátszás mögül vedd ki a pipát és kész is. A tartalmak automatikus lejátszása kikapcsolva, mindenképp kell egy „érintés” az aktiváláshoz. Picit macerásabb, de biztonságosabb.
Firefox mobil böngésző

Chrome, Opera

Jelenleg az Androidra fejlesztett Chrome egy verziójában sem (stabil, béta, dev) találtam erre lehetőséget, szóval a Chrome használatát kerüljük. Mivel az Opera Androidon is a Chrome alapokon nyugszik, így itt sincs lehetőség a funkció aktiválására, ez is kerülendő.

Hogyan tovább?

Most csupán a legnépszerűbb és szerintem legveszélyeztetettebb alkalmazásokat tekintettük át. Mindenekelőtt az általános óvatosságot és körültekintést tartom a legfontosabbnak. Nem csak, hogy nem telepítünk ismeretlen, n+1. állatsimogatós alkalmazást, hanem általánosan érdemes gyanakodni egy-egy weboldalban, alkalmazásban és mindenben, melyet közel engedünk az eszközünkhöz.

Azt sem szabad elfeledni, hogy nem csak a böngésző érintett, hanem minden, videólejátszásra képes alkalmazás, ami a hibás komponenst használja. Tehát ez esetben egy Playről letöltött alkalmazás is ugyanúgy veszélyt jelenthet a készülékedre, és itt nem csak a kifejezett médialejátszásra tervezett alkalmazásokra gondolok, hanem olyanokra, amik kényelmi funkcióként ilyenre is képesek.