Die Sicherheitsexperten von FireEye haben sowohl Android-Apps als auch Heartbleed-Scanner zur Überprüfung auf die OpenSSL-Schwachstelle Heartbleed analysiert. Nach der Einschätzung von FireEye sind derzeit etwa 150 Millionen Downloads aus dem Google Play Store von der Sicherheitslücke betroffenen. Von 17 getetesteten Heartbleed-Scannern eigneten sich nur zwei zur Überprüfung von installierten Android-Apps.
Android an sich ist nicht von der Schwachstelle betroffen, mit der Ausnahme der Versionen 4.1 und 4.1.1 Jelly Bean sowie einigen Custom-ROMs. Auf der Ebene des mobilen Betriebssystems sind derzeit also rund fünf Prozent aller Android-Geräte angreifbar. Unabhängig von der installierten Version kann der Heartbleed-Fehler dennoch alle Android-Nutzer treffen, wenn der problematische Code in einer installierten App auftritt.
Spiele und Office-Apps
FireEye berichtet, dass es sich bei den meisten Apps mit einer fehlerhaften OpenSSL-Version um Spiele handelt. Die von Spielen übertragenen Daten sind selten sicherheitsrelevant. Allerdings ist bei einer Anbindung an Facebook, Twitter, Google+ oder sonstige soziale Netzwerke Vorsicht geboten. Theoretisch können Angreifer darüber Zugriff auf die verknüpften Profile gelangen.
Bei der Überprüfung von Office Apps stellten die Tester fest, dass einige zwar den Heartbleed-Fehler enthalten, in allen Fällen aber auf die Verschlüsselung des Betriebssystems zurückgreifen. Dadurch lässt sich die Schwachstelle nicht ausnutzen, selbst wenn sie vorhanden ist.
Heartbleed-Scanner im Test
FireEye hat keine Liste der anfälligen Android-Apps veröffentlicht und stattdessen die jeweiligen Entwickler informiert. Eine Überprüfung der 17 im Google Play Store angebotenen Heartbleed-Scanner ergab folgendes:
- Lediglich sechs der getesteten Apps bieten auch die Möglichkeit zum Scannen von installierten Apps.
- Von diesen sechs Anwendungen arbeiteten nur zwei zuverlässig beim Scan.
- Etliche der Heartbleed-Scanner im Google Play Store sind Fälschungen und dienen einzig dem Anzeigen von Werbung.
Im Testzeitraum vom 10. Mai bis zum 17. Mai 2014 konnte FireEye einen Rückgang der Downloads von angreifbaren Apps verzeichnen. Das ist auf die Reaktion der Entwickler zurückzuführen, die nach und nach ihre Anwendungen mit einer fehlerfreien OpenSSL-Version aktualisieren. Die Zahl der betroffenen Apps nimmt insgesamt also ab.
Was können Anwender tun?
Unsere detaillierte Anleitung zeigt, wie die Überprüfung funktioniert. Nutzer einer anfälligen Android-Version müssen auf eine Aktualisierung des Betriebssystems warten. Google hat die fehlerfreien Versionen schon bereit gestellt. Nun liegt es bei den Anbietern, diese aktualisierte Android-Version auch auszuliefern. Informationen und Erklärungen zum Heartbleed-Fehler geben wir in unserer Zusammenfassung der OpenSSL-Sicherheitslücke.
Downloads
- Heartbleed Detector für Android herunterladen
- Heartbleed Scanner – CM Security für Android herunterladen
- Heartbleed-Ext für Windows Firefox herunterladen
- Heartbleed-Ext für Mac Firefox herunterladen
Passende Artikel
- Heartbleed-Fehler: Die OpenSSL-Sicherheitslücke betrifft fünf Prozent aller Android-Geräte
- OpenSSL-Sicherheitslücke: Sicherheitsexperten beantworten wichtige Fragen zum Heartbleed-Fehler
- Heartbleed: Alles was Sie zur SSL-Sicherheitslücke wissen müssen
- Heartbleed: Wie ich meine 14 wichtigsten Passwörter in 19 Minuten änderte
- Nach dem Heartbleed-Desaster: So machen Sie Ihre Internetkonten wieder sicher
Quelle: FireEye
