Trotz Patches: Android- und iOS-Apps noch anfällig für Freak-Angriff

Obwohl sowohl Google als auch Apple Updates bereitgestellt haben, welche die Freak-Lücke stopfen, sind immer noch tausende von Apps angreifbar und setzen die Nutzer der beiden Betriebssysteme der Schnüffel-Gefahr aus. Aus einem Bericht der Sicherheitsfirma FireEye geht hervor, dass von knapp über 10.000 getesteten Android-Apps etwas über 1200 verwundbare Server kontaktieren – das sind immerhin 11,2 Prozent. Auf der iOS-Seite sieht es etwas besser aus, dort kontaktieren von etwas über 14.000 getesteten Apps knapp 770 verwundbare Server – also 5,5 Prozent.

Mit dem Update auf iOS 8.2 am 9. März hatte Apple die Freak-Lücke abgedichtet; wenn dieses Update eingespielt wurde, sind von den durch FireEye getesteten Apps nur noch sieben gefährlich. Das kommt daher, dass Apps, die ihre eigene Version von OpenSSL mitbringen auch nach einem OS-Update noch angreifbar sind, falls die Entwickler die Lücke nicht selbst geschlossen haben. Ähnliches gilt für Android, hier kommt allerdings erschwerend hinzu, dass der entsprechende Patch für das Betriebssystem erst auf wenigen Geräten angekommen ist. Hier kann man also davon ausgehen, dass in der Praxis alle Apps noch gefährlich sind, die verwundbare Server kontaktieren.

Das Update auf Android 5.1 schließt die Lücke (siehe Zeile 2331 im AOSP-Changelog, das von Entwicklern aus dem Quellcode extrahiert wurde). Dieses Update wird allerdings gerade erst für Nexus-6-Geräte ausgeliefert und es ist nicht bekannt, wann es auf anderen Handys und Tablets ankommt. Nicht-Nexus-Geräte werden dieses Update unter Umständen erst mit monatelanger Verspätung erhalten – wenn überhaupt. Viele Apps auf Geräten, die mit Android 5 gar nicht versorgt werden, bleiben wahrscheinlich für immer angreifbar, außer die Entwickler der App nehmen sich der Sicherheitslücke selbst an. (fab)