Android-Apps für OpenSSL-Lücke anfällig
FireEye: 150 Millionen Android-App-Downloads von Heartbleed betroffen
Heartbleed und kein Ende: Die Anfang April gefundene Sicherheitslücke im Verschlüsselungsprogramm OpenSSL ist zwar auf vielen Server-Systemen inzwischen behoben, allerdings sind viele Android-Apps noch immer anfällig. Das geht aus einer Studie des Sicherheitsanbieters FireEye hervor. Vor allem installierte Anwendungen sind demnach betroffen, so die Forscher. Aktuell seien die anfälligen Applikationen rund 150 Millionen Mal heruntergeladen worden. Am 10. April 2014 hat FireEye mehr als 54.000 GoogleGoogle Play Apps untersucht (jede mit über 100.000 Downloads) und herausgefunden, dass mindestens 220 Millionen Downloads von der Heartbleed-Schwachstelle betroffen sind. Alles zu Google auf CIO.de
Zwar gibt es laut FireEye etwa 17 Applikationen, die Android-Smartphones auf die Heartbleed-Lücke testen (etwa der bereits vorgestellte Heartbleed Detector von Lookout ) nur sechs davon prüfen aber auch die installierten Anwendungen auf Schwachstellen. Nur wenn aber auch die lokalen Apps geprüft werden, ist sichergestellt, dass sich die Lücke nicht ausnutzen lässt. Eine solche Anwendung, die auch die Applikationen überprüft, ist der kostenlose Heartbleed Detector von Trend Micro.
FireEye hat einige App-Entwickler und Anbieter von Bibliotheken über die OpenSSL-Heartbleed-Schwachstelle in ihren Produkten informiert. Die gute Nachricht: Die meisten davon scheinen Heartbleed ernst zu nehmen, denn einige der Apps wurden in der Folge bereits mit entsprechenden Updates versorgt. Dadurch hat sich die Gesamtanzahl angreifbarer App-Downloads bereits verringert.
- Lookout Heartbleed Detector
Der schlimmste Fall: Nicht nur ist eine alte Version von OpenSSL installiert, auch die anfällige Heartbeat-Erweiterung ist aktiv. - Lookout Heartbleed Detector
Kein Problem: Zwar ist eine ältere Version von OpenSSL installiert, allerdings kann Heartbleed nicht ansetzen. - Lookout Heartbleed Detector
Ideal: Die aktuelle Version von OpenSSL kommt ohne die Schwachstelle. - Trend Micro Heartbleed Detector
Die Detector-App von Trend Micro prüft die Apps auf fehlerhafte Installationen von OpenSSL. - Trend Micro Heartbleed Detector
Je nach der Anzahl der installierten Apps kann dies etwas dauern. - Trend Micro Heartbleed Detector
Gute Nachrichten: Keine anfälligen Apps wurden gefunden.