Studie: 150 Millionen Android-Apps immer noch von Heartbleed-Lücke betroffen

MobileMobile OSSicherheit
Heartbleed (Grafik: Codenomicon)

Laut einer Studie von FireEye waren am 10. April weltweit noch etwa 220 Millionen Apps auf Android-Geräten installiert, die durch Heartbleed-Angriffe potenziell verwundbar waren, da sie eine entsprechend anfällige Version der OpenSSL-Bibliothek beinhalten. Bis zum 17. April reduzierte sich diese Zahl auf 150 Millionen. Allerdings hat FireEye nur Apps aus Googles Play Store untersucht und darunter lediglich diejenigen, die mehr als 100.000-Mal heruntergeladen wurden.

Heartbleed (Grafik: Codenomicon)

Das Sicherheitsunternehmen hat mittlerweile einige der Entwickler der insgesamt 54.000 analysierten Apps benachrichtigt. Zu den betroffenen Anwendungen an sich machte FireEye jedoch keine Angaben.

“Glücklicherweise scheint es so, als nähmen die meisten Entwickler die Heartbleed-Lücke ernst, da wir erste Apps mit sauberen Fixes sehen”, schreiben die FireEye-Mitarbeiter Yulong Zhang, Hui Xue und Tao Wie in einem Blogeintrag.

Obwohl Android 4.1.1 als einzige Version des Google-Mobilbetriebssystems von dem Bug betroffen sei, gebe es doch zahlreiche verwundbare Apps mit nativen SSL-Bibliotheken. Diese basierten entweder direkt oder indirekt auf OpenSSL und könnten persönliche Daten übermitteln.

Laut FireEye kann der Heartbleed-Fehler mittlerweile zwar durch einige Sicherheitstools auf Android-Geräten erkannt werden, jedoch überprüften nicht alle auch die darauf installierten Apps. Nur 6 von 17 untersuchten Tools enthielten diese Funktion. “Von den sechs melden zwei alle installierten Apps als ‘sicher’, inklusive denen, die wir als anfällig bestätigt haben”, heißt es weiter in dem Blogeintrag von FireEye. “Nur zwei führten eine gründliche Prüfung auf für Heartbleed anfällige Apps durch.” Zudem kursierten derzeit auch gefälschte Heartbleed-Scanner, die FireEye als Adware klassifiziert hat.

Die Entwickler des OpenBSD-Betriebssystems haben inzwischen eine LibreSSL genannte OpenSSL-Alternative bereitgestellt. Dieser Ableger der Verschlüsselungsbibliothek enthält weniger Quelltext, um sie schlanker und sicherer zu machen. Das erste OS, das LibreSSL einsetzen wird, ist OpenBSD 5.6.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Lesen Sie auch :
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen