Rund 1.300 Apps in Google Play sollen vom Heartbleed-Bug betroffen sein, da sie sich mit angreifbaren Servern verbinden – auch Banking-Apps und Apps für Online-Bezahlvorgänge. [...]
OpenSSL ist zur Absicherung von Datenübermittlungen im Internet weit verbreitet. Es kommt auf Webservern, in der E-Mail-Kommunikation, bei VPN und anderen Diensten zum Einsatz. Die kürzlich entdeckte, gravierende Sicherheitslücke in der Verschlüsselungsbibliothek – die auf den griffigen Namen „Heartbleed“ getauft wurde – zieht immer weitere Kreise, auch in Richtung Smartphones und Tablets: Die Security-Experten von Trend Micro haben 390.000 Apps aus Google Play überprüft und kommen zu dem Ergebnis, dass sich rund 1.300 davon mit angreifbaren Servern verbinden. Leider befinden sich darunter auch 15 Banking-Apps, 39 Apps für Online-Bezahlvorgänge sowie weitere zehn, die mit Online-Einkäufen zu tun haben. „Leider kann der Nutzer nicht viel gegen diese Gefahr unternehmen“, erklärt Sicherheitsexperte Udo Schneider, Pressesprecher bei Trend Micro. „Denn die meisten mobilen Anwendungen müssen sich mit Servern verbinden, um zu funktionieren. Doch die Sicherheitslücke können nur die Betreiber der Server schließen.“
Dies ist vor allem für Besitzer von Smartphones oder Tablets ein Problem, die ihre Geräte für mobile Bankgeschäfte oder Einkäufe, einschließlich In-App-Einkäufe, verwenden. Wer zum Beispiel über eine App einen Einkauf tätigt und dafür innerhalb dieser Anwendung seine Kreditkartendaten eingeben muss, läuft Gefahr, dass diese Angaben im Nachhinein von Cyberkriminellen entwendet werden. Denn diese Daten liegen auf einem Server und auf die Speicherdauer hat der Anwender keinerlei Einfluss. Ist der Server nun über die Sicherheitslücke angreifbar und werden die Kreditkartendaten für längere Zeit aufbewahrt, besteht das Risiko des Datendiebstahls und eines späteren finanziellen Verlustes.
„Es wird sicherlich noch einige Wochen oder sogar Monate dauern, bis die Sicherheitslücke auf allen betroffenen Servern geschlossen ist“, ist Udo Schneider überzeugt. „Bis dahin sollten die Anwender der Versuchung widerstehen und insbesondere Finanztransaktionen dann und nur dann tätigen, wenn sie absolut sicher sind, dass die Betreiber hinter den Bezahl- oder Bankdiensten die Sicherheit wiederhergestellt haben, falls sie betroffen waren.“
HEARTBLEED DETECTOR
Ende letzter Woche hat ein anderer Security-Anbieter, Lookout, die kostenlose App Heartbleed Detector veröffentlicht, mit der Android-Smartphones und Tablets auf die jüngst bekanntgewordene Sicherheitslücke in OpenSSL geprüft werden können. Innerhalb weniger Stunden haben Hunderte Android-Nutzer ihr System überprüft und die Daten an Lookout gesendet. Lookout hat nun eine (frühe) Auswertung dieser Daten veröffentlicht.
Ausgewertet wurden OpenSSL-Informationen von über 2.400 Nutzern. Dabei sind 4,98 Prozent der Android-Nutzer sowohl von der OpenSSL-Lücke als auch von ihrer fehlerhaften Funktion „Heartbeat“ (auf die der Name „Heartbleed“ zurückzuführen ist) betroffen. Auf 82,57 Prozent aller mit Android 4.1.1 betriebenen Smartphones und Tablets besteht das Sicherheitsrisiko durch Heartbleed. Bei Android-Geräten mit der Version 4.2.2 sind es hingegen „nur“ 15,02 Prozent.
Neuere Android-Versionen scheinen bisher nicht von Heartbleed betroffen zu sein. Im internationalen Vergleich übernimmt Deutschland die unrühmliche Führungsposition mit 12,46 Prozent an sicherheitsgefährdeten Smartphones und Tablets. Dahinter positionieren sich die USA mit 2,6 Prozent sowie das Vereinigtes Königreich mit 1,5 Prozent.
Einen Grund zur Panik gibt es Lookout zufolge aber vorerst nicht. Die OEMs und Netzbetreiber seien jetzt gefragt, die betroffenen Systeme schnellstmöglich mit Updates zu versorgen. Problematisch ist jedoch, dass Android nicht nur auf Smartphones und Tabets verbreitet ist. In anderen Systemen, die auf Android setzen, könnte Heartbleed zu einem Problem werden. Bisher sind nur wenige Informationen vorhanden, wie gefährdet Infotainmentsysteme in Fahrzeugen, Smart-TVs oder Set-Top-Boxen sind. Nicht zu vernachlässigen sind Lookout zufolge auch erste Funde von Codes bzw. „Proof of Concepts“, die für Angriffe auf mobile Geräte mit der Heartbleed-Schwachstelle ausgelegt sind. (pi/rnf)
Be the first to comment