Smartphones vom SSL-GAU (fast) nicht betroffen
Keine der wichtigen Smartphone-Plattformen setzt in der aktuellen Version eine der für Heartbleed anfälligen OpenSSL-Bibliotheken ein. Lediglich Android-Nutzer mit einer mittelalten Version benötigen ein Update.
Nicht nur Server, auch Clients, die die Verschlüsselungs-Bibliothek OpenSSL einsetzen, lassen sich durch die Heartbleed-Lücke angreifen. Doch Smartphone-Nutzer können offenbar aufatmen. Weder iOS noch Android und schon gar nicht Windows Phone setzen ab Werk eine verwundbare OpenSSL-Versionen ab 1.0.1 ein.
iOS und Windows Mobile nutzen für die Verschlüsselung von Haus aus gar kein OpenSSL, sondern eigene Krypto-Bibliotheken. Googles Android setzt zwar auf die Open-Source-Bibliothek, aber größtenteils kommen Versionen zum Einsatz, die keinen Heartbeat verwenden und somit nicht anfällig sind.
Bis Version 2.3 aka Gingerbread kam OpenSSL 1.0.0.a zum Einsatz. Bei Android 4 stieg Google dann zwar auf das eigentlich anfällige OpenSSL 1.0.1 um, entfernte jedoch noch vor Erscheinen von 4.1.2 die problematische Heartbeat-Funktion. Das hatte jedoch nichts mit Sicherheitsbedenken zu tun, sondern bezog sich auf Probleme im Zusammenhang mit WLAN-Funktionen. Alle folgenden Android-Versionen sind somit sicher; problematisch sind nur Smartphones, auf denen etwa Android 4.1.1 läuft. [Update: Mit dem Heartbleed Detector von Lookout, kann man sein Android-Smartphone selber testen, bevor es andere tun.] (ju)
