Android-Apps mit Heartbleed-Lücke, aber ...
Heartbleed bringt nicht nur Server, sondern auch Clients in Gefahr. FireEye hat nun potenziell verwundbare Android-Apps aufgespürt. Grund zur Panik ist das allerdings nicht.
- Ronald Eikenberg
Viele Android-Apps bringen OpenSSL-Versionen mit, die für den Heartbleed-Angriff anfällig sind. Zu diesem Ergebnis kommt die Sicherheitsfirma FireEye, nachdem sie über 54.000 Apps aus Googles Play Store analysiert hat. Die betroffenen Apps wurden insgesamt über 220 Millionen Mal heruntergeladen. Wie viele Apps mit einer verwundbaren OpenSSL-Version ausgestattet waren, verrät FireEye indes nicht.
Bei den betroffenen Apps soll es sich vor allem um Spiele, aber auch Office-Apps handeln. Der mögliche Schaden hält sich in Grenzen: Bei den Spielen könnte ein Angreifer etwa OAuth-Tokens abgreifen und damit das Spieler-Profil seines Opfers übernehmen. Die Daten darauf fließen unter Umständen weiter in den Facebook-Account. Bei den Office-Apps stellte sich heraus, dass sie die mitgelieferte, verwundbare OpenSSL-Version gar nicht genutzt haben und stattdessen auf die OpenSSL-Bibliothek von Android zurückgriffen. Diese ist nur bei sehr wenigen Android-Versionen für Heartbleed anfällig (4.1.0 bis 4.1.1).
Wer selbst überprüfen will, ob eine bestimmte App für Heartbleed anfällig ist, hat es laut FireEye schwer: Die Sicherheitsfirma hat einen Blick auf 17 Heartbleed-Scanner geworfen, die Android-Geräte auf die Lücke abklopfen sollen. Nur sechs davon werteten die OpenSSL-Versionen der installierten Apps aus – und wiederum nur zwei davon lieferten annähernd plausible Ergebnisse. Welche beiden das allerdings sind, behält FireEye für sich. (rei)
