Android: viele App-Downloads von Heartbleed betroffen

24. April 2014 Kategorie: Android, Backup & Security, geschrieben von: caschy

Laut den Sicherheits-Experten von FireEye ist die OpenSSL-Sicherheitslücke im Google Play Store ein reelles Problem. FireEye Experten wollen herausgefunden haben, dass rund 150 Millionen Downloads von Android-Apps OpenSSL-Bibliotheken enthalten, die über die Heartbleed-Schwachstelle angreifbar sind.heartbleed-android

Momentan wären im Google Play Store 17 Antivirus-Apps verfügbar, die als „Heartbleed-Detektor“ bezeichnet sind. Sechs davon scannen die OpenSSL-Bibliothek, die zur Android-Plattform gehört, nach Schwachstellen. Doch diese Methode ist nach Aussage der FireEye-Menschen unzureichend: Abgesehen von einigen eingeschränkten Versionen (vor allem 4.1.0 bis 4.1.1) sind die meisten Android-Plattformen von Heartbleed nicht betroffen: Entweder sie nutzen OpenSSL-Bibliotheken, die über diese Schwachstelle nicht angreifbar sind, oder bei ihnen ist die OpenSSL-Heartbeat-Funktion einfach deaktiviert.

Allerdings setzen Android-Apps oft eigene Bibliotheken ein, die entweder direkt oder indirekt auf angreifbare OpenSSL-Bibliotheken zurückgreifen sollen. Aussage FireEye: Auch wenn die Android-Plattform selbst nicht angreifbar ist, könnten Angreifer den Umweg über betroffene Apps gehen.

FireEye hat nun Apps mit angreifbaren OpenSSL-Bibliotheken untersucht. Das Ergebnis der Forscher: die beschriebene Angriffsmethode soll funktionieren. Die meisten angreifbaren Apps sind Spiele, aber auch einige Office-Anwendungen sind betroffen. Die Spiele-Apps enthalten zwar nicht allzu viele wertvolle Informationen, allerdings können Angreifer OAuth-Tokens stehlen, um die Spiele-Accounts zu kapern.

Bei FireEye sieht man eher die Gefahr in den Office-Apps, da hier oftmals sensible Daten enthalten wären. Witziges Randdetail, von dem FireEye in ihrem Blog berichten: Als sie die ersten Office-Apps mit angreifbarer OpenSSL-Version untersucht haben, fanden sie zu ihrer Überraschung heraus, dass sie nicht anfällig für Heartbleed-Angriffe waren. Der Grund dafür ist, dass diese Apps entweder einen Fehler in der Verknüpfung des eigenen Codes oder einfach funktionslosen Code enthalten. Wenn eine derartige App versucht, SSL-Funktionen aufzurufen, wird sie daher auf unbedenkliche OpenSSL-Bibliotheken des Android-Betriebssystems umgeleitet, anstatt die angreifbare Bibliothek der App selbst zu nutzen.

Grundlage der Untersuchung: 54.000 Google Play Apps, die über 100.000 Downloads generierten. Die Anzahl der angreifbaren Installationen beläuft sich laut FireEye auf 150 Millionen. Was leider fehlt, ist eine Liste der Apps.



Werbung: Drohne, GoPro & Oculus Rift: Instaffo.com verlost coole Gadgets Zur Infoseite.

Über den Autor: caschy

Hallo, ich bin Carsten! Daddy von Max, Dortmunder im Norden, BVB-Getaufter, Gerne-Griller und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, XING, Linkedin, Instagram und YouTube. Persönliches Blog. PayPal-Kaffeespende.

Carsten hat bereits 22518 Artikel geschrieben.