Menü

Android-Apps mit Heartbleed-Lücke, aber ...

Heartbleed bringt nicht nur Server, sondern auch Clients in Gefahr. FireEye hat nun potenziell verwundbare Android-Apps aufgespürt. Grund zur Panik ist das allerdings nicht.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 19 Beiträge
Von

Heartbleed-Bug: Der GAU für Web-Verschlüsselung

Ein äußerst schwerwiegender Programmierfehler gefährdet Verschlüsselung, Schlüssel und Daten der mit OpenSSL gesicherten Verbindungen im Internet. Die Lücke erlaubt auch Zugriff auf vertrauliche Daten wie Klartext-Passwörter. Angesichts der Verbreitung der OpenSource-Bibliothek hat dies katastrophale Folgen.

mehr anzeigen

Viele Android-Apps bringen OpenSSL-Versionen mit, die für den Heartbleed-Angriff anfällig sind. Zu diesem Ergebnis kommt die Sicherheitsfirma FireEye, nachdem sie über 54.000 Apps aus Googles Play Store analysiert hat. Die betroffenen Apps wurden insgesamt über 220 Millionen Mal heruntergeladen. Wie viele Apps mit einer verwundbaren OpenSSL-Version ausgestattet waren, verrät FireEye indes nicht.

Bei den betroffenen Apps soll es sich vor allem um Spiele, aber auch Office-Apps handeln. Der mögliche Schaden hält sich in Grenzen: Bei den Spielen könnte ein Angreifer etwa OAuth-Tokens abgreifen und damit das Spieler-Profil seines Opfers übernehmen. Die Daten darauf fließen unter Umständen weiter in den Facebook-Account. Bei den Office-Apps stellte sich heraus, dass sie die mitgelieferte, verwundbare OpenSSL-Version gar nicht genutzt haben und stattdessen auf die OpenSSL-Bibliothek von Android zurückgriffen. Diese ist nur bei sehr wenigen Android-Versionen für Heartbleed anfällig (4.1.0 bis 4.1.1).

Wer selbst überprüfen will, ob eine bestimmte App für Heartbleed anfällig ist, hat es laut FireEye schwer: Die Sicherheitsfirma hat einen Blick auf 17 Heartbleed-Scanner geworfen, die Android-Geräte auf die Lücke abklopfen sollen. Nur sechs davon werteten die OpenSSL-Versionen der installierten Apps aus – und wiederum nur zwei davon lieferten annähernd plausible Ergebnisse. Welche beiden das allerdings sind, behält FireEye für sich. (rei)