Heartbleed-Bug nun auch in Android gefunden

MobileMobile OSSicherheitSicherheitsmanagement
Heartbleed (Grafik: Codenomicon)

Experten zufolge findet sich die Lücke in Android 4.1, womit über ein Drittel aller Android-Geräte betroffen sind. Sicherheitsexperten kritisieren die mangelnde Bereitschaft vieler Hersteller, Patches auszuliefern. Sophos macht für das Problem auch die Mobilfunkanbieter mit verantwortlich.

Offenbar ist auch Android 4.1 für die als Heartbleed bekannt gewordene Lücke in OpenSSl anfällig. Das hat zumindest der Sicherheitsforscher Jake Williams, Berater bei CSR Group Computer Security Consultants, auf einer Veranstaltung des SANS Institute in Australien erklärt. Williams kritisierte auch die mangelnde Bereitschaft von Geräteherstellern, Patches für ihre Geräte bereitzustellen.

Heartbleed (Grafik: Codenomicon)

Unklar ist allerdings noch, welche Versionen von Android 4.1 betroffen sind. Williams sagte lediglich: “Wenn sie eine derartig frühe Version von Android einsetzen, sind Sie unglücklicherweise wahrscheinlich betroffen.” Die Verfügbarkeit von Patches sei “geringer als erwünscht”. Linux-Distributoren haben bereits Updates für OpenSSL ausgeliefert.

James Lyne, Sicherheitsforscher bei Sophos, macht im Gegensatz zu Williams vor allem bei den Mobilfunkprovider verantwortlich. “In vielen Fällen sind es die Anbieter, nicht die der Hardware, sondern die Telefongesellschaften, die nicht verantwortungsbewusst handeln.”

Auf der Veranstaltung des SANS Institute brachten einige Redner zudem scharfe Kritik an der Informationspolitik vieler Firmen vor. Vor allem Banken informierten ihre Kunden nicht darüber, ob sie von Heartbleed betroffen seien. Einige hätten zwar Pressemitteilungen veröffentlicht, in diesen fehlten aber die notwendigen Informationen. Eine Bank habe beispielsweise behauptet, sie hätte bereits Maßnahmen gegen einen Datendiebstahl ergriffen und auch einen Patch installiert, sagte Williams.

Das von der Bank benutzte SSL-Zertifikat sei jedoch am 4. Dezember 2012 erstellt worden und damit unsicher. “Wenn sie tatsächlich betroffen waren und einen Patch einspielen mussten, dann erschreckt es mich zu Tode, dass sie nach dem Patch das Zertifikat nicht neu ausgestellt haben”, sagte Williams. Die Bank sei aber nur ein Beispiel für die “Mittelmäßigkeit” vieler Organisationen.

Die von der Sicherheitsfirma Codenomicon und dem Google-Mitarbeiter Neel Mehta entdeckte Sicherheitslücke in OpenSSL, offiziell als CVE-2014-0160 bezeichnet, existiert seit gut zwei Jahren. Durch sie ist der Zugriff auf den flüchtigen Speicher möglich, wodurch Angreifer sensible Informationen wie Zugangsdaten abgreifen können. Ob die in Anlehnung an die Heartbeat-Erweiterung von TLS/DTLS (RFC 6520) “Heartbleed” geannte Lücke auch tatsächlich ausgenutzt wurde, kann derzeit niemand mit Sicherheit sagen.

Fest steht dagegen, dass OpenSSL von gut zwei Dritteln aller Webseiten, die SSL zur Verschlüsselung einsetzen, verwendet wird. Allerdings bedeutet dies nicht, dass automatisch alle Server angreifbar waren. Denn dafür muss die Heartbeat-Erweiterung auch aktiviert sein. Das trifft laut Internet-Dienstleister Netcraft auf gut 500.000 Webserver zu.

Die meisten davon haben die Lücke inzwischen mit einem Patch geschlossen. Die Gefahr ist dasmit allerdings nicht vorrüber: Erst wenn auch ein neues Zertifkat installiert ist, besteht für Angreifer keine Möglichkeit mehr, die Lücke auszunutzen.

Für Anwender empfiehlt es sich daher, die Zugangsdaten bei dem betreffenden Server erst zu ändern, wenn Patch und Zertifikat installiert sind. Dies lässt sich mit dem Heartbleed-Checker von Lastpass überprüfen. Das Online-Tool informiert über den Installationszeitpunkt des Zertifikats. Server, deren Zertifikate vor der Entdeckung des Bugs am 7. April ausgestellt wurden, gelten als verwundbar. Eine Liste der von der Heartbleed-Lücke betroffenen Server steht auf Github zur Verfügung.

Der Sicherheitsanbieter Lookout hat zudem gestern die kostenlose Android-App Heartbleed Detector bereitgestellt. Besitzer von Android-Smartphones und -Tablets können ihr Gerät damit auf die Sicherheitslücke in OpenSSL überprüfen. Eine erste Auswertung der Daten zeigt, dass 4,98 Prozent der App-Nutzer sowohl von der OpenSSL-Lücke als auch von der fehlerhaften Funktion “Heartbeat” betroffen sind. Auf 82,57 Prozent der mit Android 4.1.1 betriebenen Smartphones und Tablets besteht das Sicherheitsrisiko durch Heartbleed. Bei Android-Geräten mit der Version 4.2.2 sind es laut Lookout 15,02 Prozent. Im internationalen Vergleich ist in Deutschland mit 12,46 Prozent gefährdeter Smartphones und Tablets die Rate am höchsten. In den USA liegt sie bei 2,6 Prozent.

[mit Material von Stefan Beiersmann, ZDNet.de und [mit Material von Kai Schmerer, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen