zurück zum Artikel

Keine der wichtigen Smartphone-Plattformen setzt in der aktuellen Version eine der für Heartbleed anfälligen OpenSSL-Bibliotheken ein. Lediglich Android-Nutzer mit einer mittelalten Version benötigen ein Update.

Nicht nur Server, auch Clients, die die Verschlüsselungs-Bibliothek OpenSSL einsetzen, lassen sich durch die Heartbleed-Lücke [1] angreifen. Doch Smartphone-Nutzer können offenbar aufatmen. Weder iOS noch Android und schon gar nicht Windows Phone setzen ab Werk eine verwundbare OpenSSL-Versionen ab 1.0.1 ein.

iOS und Windows Mobile nutzen für die Verschlüsselung von Haus aus gar kein OpenSSL, sondern eigene Krypto-Bibliotheken. Googles Android setzt zwar auf die Open-Source-Bibliothek, aber größtenteils kommen Versionen zum Einsatz, die keinen Heartbeat verwenden und somit nicht anfällig sind.

Bis Version 2.3 aka Gingerbread kam OpenSSL 1.0.0.a [2] zum Einsatz. Bei Android 4 stieg Google dann zwar auf das eigentlich anfällige OpenSSL 1.0.1 um, entfernte jedoch noch vor Erscheinen von 4.1.2 die problematische Heartbeat-Funktion [3]. Das hatte jedoch nichts mit Sicherheitsbedenken zu tun, sondern bezog sich auf Probleme im Zusammenhang mit WLAN-Funktionen. Alle folgenden Android-Versionen sind somit sicher; problematisch sind nur Smartphones, auf denen etwa Android 4.1.1 läuft. [Update: Mit dem Heartbleed Detector [4] von Lookout, kann man sein Android-Smartphone selber testen, bevor es andere tun.] (ju [5])

URL dieses Artikels:
https://www.heise.de/-2167793

Links in diesem Artikel:
[1] https://www.heise.de/news/Der-GAU-fuer-Verschluesselung-im-Web-Horror-Bug-in-OpenSSL-2165517.html
[2] https://android.googlesource.com/platform/external/openssl.git/+/gingerbread/openssl.version
[3] https://android.googlesource.com/platform/external/openssl.git/+/android-4.1.2_r1
[4] https://play.google.com/store/apps/details?id=com.lookout.heartbleeddetector
[5] mailto:ju@ct.de

Copyright © 2014 Heise Medien