Heartbleed betrifft auch Smartphone-Apps

Rund 1.300 Apps in Google Play sollen vom Heartbleed-Bug betroffen sein, da sie sich mit angreifbaren Servern verbinden – auch Banking-Apps und Apps für Online-Bezahlvorgänge. [...]

OpenSSL ist zur Absicherung von Datenübermittlungen im Internet weit verbreitet. Es kommt auf Webservern, in der E-Mail-Kommunikation, bei VPN und anderen Diensten zum Einsatz. Die kürzlich entdeckte, gravierende Sicherheitslücke in der Verschlüsselungsbibliothek – die auf den griffigen Namen „Heartbleed“ getauft wurde – zieht immer weitere Kreise, auch in Richtung Smartphones und Tablets: Die Security-Experten von Trend Micro haben 390.000 Apps aus Google Play überprüft und kommen zu dem Ergebnis, dass sich rund 1.300 davon mit angreifbaren Servern verbinden. Leider befinden sich darunter auch 15 Banking-Apps, 39 Apps für Online-Bezahlvorgänge sowie weitere zehn, die mit Online-Einkäufen zu tun haben. „Leider kann der Nutzer nicht viel gegen diese Gefahr unternehmen“, erklärt Sicherheitsexperte Udo Schneider, Pressesprecher bei Trend Micro. „Denn die meisten mobilen Anwendungen müssen sich mit Servern verbinden, um zu funktionieren. Doch die Sicherheitslücke können nur die Betreiber der Server schließen.“
 
Dies ist vor allem für Besitzer von Smartphones oder Tablets ein Problem, die ihre Geräte für mobile Bankgeschäfte oder Einkäufe, einschließlich In-App-Einkäufe, verwenden. Wer zum Beispiel über eine App einen Einkauf tätigt und dafür innerhalb dieser Anwendung seine Kreditkartendaten eingeben muss, läuft Gefahr, dass diese Angaben im Nachhinein von Cyberkriminellen entwendet werden. Denn diese Daten liegen auf einem Server und auf die Speicherdauer hat der Anwender keinerlei Einfluss. Ist der Server nun über die Sicherheitslücke angreifbar und werden die Kreditkartendaten für längere Zeit aufbewahrt, besteht das Risiko des Datendiebstahls und eines späteren finanziellen Verlustes.
 
„Es wird sicherlich noch einige Wochen oder sogar Monate dauern, bis die Sicherheitslücke auf allen betroffenen Servern geschlossen ist“, ist Udo Schneider überzeugt. „Bis dahin sollten die Anwender der Versuchung widerstehen und insbesondere Finanztransaktionen dann und nur dann tätigen, wenn sie absolut sicher sind, dass die Betreiber hinter den Bezahl- oder Bankdiensten die Sicherheit wiederhergestellt haben, falls sie betroffen waren.“

HEARTBLEED DETECTOR
Ende letzter Woche hat ein anderer Security-Anbieter, Lookout, die kostenlose App Heartbleed Detector veröffentlicht, mit der Android-Smartphones und Tablets auf die jüngst bekanntgewordene Sicherheitslücke in OpenSSL geprüft werden können. Innerhalb weniger Stunden haben Hunderte Android-Nutzer ihr System überprüft und die Daten an Lookout gesendet. Lookout hat nun eine (frühe) Auswertung dieser Daten veröffentlicht.

Ausgewertet wurden OpenSSL-Informationen von über 2.400 Nutzern. Dabei sind 4,98 Prozent der Android-Nutzer sowohl von der OpenSSL-Lücke als auch von ihrer fehlerhaften Funktion „Heartbeat“ (auf die der Name „Heartbleed“ zurückzuführen ist) betroffen. Auf 82,57 Prozent aller mit Android 4.1.1 betriebenen Smartphones und Tablets besteht das Sicherheitsrisiko durch Heartbleed. Bei Android-Geräten mit der Version 4.2.2 sind es hingegen „nur“ 15,02 Prozent.

Neuere Android-Versionen scheinen bisher nicht von Heartbleed betroffen zu sein. Im internationalen Vergleich übernimmt Deutschland die unrühmliche Führungsposition mit 12,46 Prozent an sicherheitsgefährdeten Smartphones und Tablets. Dahinter positionieren sich die USA mit 2,6 Prozent sowie das Vereinigtes Königreich mit 1,5 Prozent.

Einen Grund zur Panik gibt es Lookout zufolge aber vorerst nicht. Die OEMs und Netzbetreiber seien jetzt gefragt, die betroffenen Systeme schnellstmöglich mit Updates zu versorgen. Problematisch ist jedoch, dass Android nicht nur auf Smartphones und Tabets verbreitet ist. In anderen Systemen, die auf Android setzen, könnte Heartbleed zu einem Problem werden. Bisher sind nur wenige Informationen vorhanden, wie gefährdet Infotainmentsysteme in Fahrzeugen, Smart-TVs oder Set-Top-Boxen sind. Nicht zu vernachlässigen sind Lookout zufolge auch erste Funde von Codes bzw. „Proof of Concepts“, die für Angriffe auf mobile Geräte mit der Heartbleed-Schwachstelle ausgelegt sind. (pi/rnf)


Mehr Artikel

News

Bad Bots werden immer menschenähnlicher

Bei Bad Bots handelt es sich um automatisierte Softwareprogramme, die für die Durchführung von Online-Aktivitäten im großen Maßstab entwickelt werden. Bad Bots sind für entsprechend schädliche Online-Aktivitäten konzipiert und können gegen viele verschiedene Ziele eingesetzt werden, darunter Websites, Server, APIs und andere Endpunkte. […]

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*