Android: viele App-Downloads von Heartbleed betroffen

24. April 2014 Kategorie: Android, Backup & Security, geschrieben von:

Laut den Sicherheits-Experten von FireEye ist die OpenSSL-Sicherheitslücke im Google Play Store ein reelles Problem. FireEye Experten wollen herausgefunden haben, dass rund 150 Millionen Downloads von Android-Apps OpenSSL-Bibliotheken enthalten, die über die Heartbleed-Schwachstelle angreifbar sind.heartbleed-android

Momentan wären im Google Play Store 17 Antivirus-Apps verfügbar, die als „Heartbleed-Detektor“ bezeichnet sind. Sechs davon scannen die OpenSSL-Bibliothek, die zur Android-Plattform gehört, nach Schwachstellen. Doch diese Methode ist nach Aussage der FireEye-Menschen unzureichend: Abgesehen von einigen eingeschränkten Versionen (vor allem 4.1.0 bis 4.1.1) sind die meisten Android-Plattformen von Heartbleed nicht betroffen: Entweder sie nutzen OpenSSL-Bibliotheken, die über diese Schwachstelle nicht angreifbar sind, oder bei ihnen ist die OpenSSL-Heartbeat-Funktion einfach deaktiviert.

Allerdings setzen Android-Apps oft eigene Bibliotheken ein, die entweder direkt oder indirekt auf angreifbare OpenSSL-Bibliotheken zurückgreifen sollen. Aussage FireEye: Auch wenn die Android-Plattform selbst nicht angreifbar ist, könnten Angreifer den Umweg über betroffene Apps gehen.

FireEye hat nun Apps mit angreifbaren OpenSSL-Bibliotheken untersucht. Das Ergebnis der Forscher: die beschriebene Angriffsmethode soll funktionieren. Die meisten angreifbaren Apps sind Spiele, aber auch einige Office-Anwendungen sind betroffen. Die Spiele-Apps enthalten zwar nicht allzu viele wertvolle Informationen, allerdings können Angreifer OAuth-Tokens stehlen, um die Spiele-Accounts zu kapern.

Bei FireEye sieht man eher die Gefahr in den Office-Apps, da hier oftmals sensible Daten enthalten wären. Witziges Randdetail, von dem FireEye in ihrem Blog berichten: Als sie die ersten Office-Apps mit angreifbarer OpenSSL-Version untersucht haben, fanden sie zu ihrer Überraschung heraus, dass sie nicht anfällig für Heartbleed-Angriffe waren. Der Grund dafür ist, dass diese Apps entweder einen Fehler in der Verknüpfung des eigenen Codes oder einfach funktionslosen Code enthalten. Wenn eine derartige App versucht, SSL-Funktionen aufzurufen, wird sie daher auf unbedenkliche OpenSSL-Bibliotheken des Android-Betriebssystems umgeleitet, anstatt die angreifbare Bibliothek der App selbst zu nutzen.

Grundlage der Untersuchung: 54.000 Google Play Apps, die über 100.000 Downloads generierten. Die Anzahl der angreifbaren Installationen beläuft sich laut FireEye auf 150 Millionen. Was leider fehlt, ist eine Liste der Apps.


Über den Autor:

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. Persönliches Blog. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Carsten hat bereits 25733 Artikel geschrieben.