Android: viele App-Downloads von Heartbleed betroffen
Laut den Sicherheits-Experten von FireEye ist die OpenSSL-Sicherheitslücke im Google Play Store ein reelles Problem. FireEye Experten wollen herausgefunden haben, dass rund 150 Millionen Downloads von Android-Apps OpenSSL-Bibliotheken enthalten, die über die Heartbleed-Schwachstelle angreifbar sind.
Momentan wären im Google Play Store 17 Antivirus-Apps verfügbar, die als „Heartbleed-Detektor“ bezeichnet sind. Sechs davon scannen die OpenSSL-Bibliothek, die zur Android-Plattform gehört, nach Schwachstellen. Doch diese Methode ist nach Aussage der FireEye-Menschen unzureichend: Abgesehen von einigen eingeschränkten Versionen (vor allem 4.1.0 bis 4.1.1) sind die meisten Android-Plattformen von Heartbleed nicht betroffen: Entweder sie nutzen OpenSSL-Bibliotheken, die über diese Schwachstelle nicht angreifbar sind, oder bei ihnen ist die OpenSSL-Heartbeat-Funktion einfach deaktiviert.
Allerdings setzen Android-Apps oft eigene Bibliotheken ein, die entweder direkt oder indirekt auf angreifbare OpenSSL-Bibliotheken zurückgreifen sollen. Aussage FireEye: Auch wenn die Android-Plattform selbst nicht angreifbar ist, könnten Angreifer den Umweg über betroffene Apps gehen.
FireEye hat nun Apps mit angreifbaren OpenSSL-Bibliotheken untersucht. Das Ergebnis der Forscher: die beschriebene Angriffsmethode soll funktionieren. Die meisten angreifbaren Apps sind Spiele, aber auch einige Office-Anwendungen sind betroffen. Die Spiele-Apps enthalten zwar nicht allzu viele wertvolle Informationen, allerdings können Angreifer OAuth-Tokens stehlen, um die Spiele-Accounts zu kapern.
Bei FireEye sieht man eher die Gefahr in den Office-Apps, da hier oftmals sensible Daten enthalten wären. Witziges Randdetail, von dem FireEye in ihrem Blog berichten: Als sie die ersten Office-Apps mit angreifbarer OpenSSL-Version untersucht haben, fanden sie zu ihrer Überraschung heraus, dass sie nicht anfällig für Heartbleed-Angriffe waren. Der Grund dafür ist, dass diese Apps entweder einen Fehler in der Verknüpfung des eigenen Codes oder einfach funktionslosen Code enthalten. Wenn eine derartige App versucht, SSL-Funktionen aufzurufen, wird sie daher auf unbedenkliche OpenSSL-Bibliotheken des Android-Betriebssystems umgeleitet, anstatt die angreifbare Bibliothek der App selbst zu nutzen.
Grundlage der Untersuchung: 54.000 Google Play Apps, die über 100.000 Downloads generierten. Die Anzahl der angreifbaren Installationen beläuft sich laut FireEye auf 150 Millionen. Was leider fehlt, ist eine Liste der Apps.
Gibt es kein anderes Thema mehr? Ich kann den Scheiß nicht mehr lesen. Heartbleed hier, heartbleed da. Es wird aus ner Mücke einen Elefanten gemacht. Letztens noch gepfrüft und mein Androidsystem sowie die daurauf befindlichen Apps sind nicht betroffen. Wenn man sich keine dubiosen Apps runterlädt ist man auf der sicheren Seite. Wenn man die ganzen News liest denkt man, dass das ganze Internet von dem Bug betroffen ist und die Apocalypse bevorsteht. Lächerlich!
Hysterie, Panik, Weltuntergang.
Oder doch wieder nur ein typisch deutsches Phänomen -> „German Angst“?
Grundlage der Untersuchung: 54.000 Google Play Apps […]. Die Anzahl der angreifbaren Apps beläuft sich laut FireEye auf 150 Millionen.
Es wurden nur 54k Apps untersucht, aber angreifbar sollen 150 Mio. Apps sein?
@Ich Name: Es geht um die durch die Apps generierten Installationen 🙂
In der Tat ein etwas hohler Artikel. Man liest und liest und es kommt irgendwie nichts belastbares rum. Stattdessen verschiedentliche Einschränkungen, wie viele Apps und Android Versionnen eben NICHT angreifbar sind. Ansonsten nur vollkommen unüberprüfbare Schätzungen und unbelegte Zahlen. Ich vermute die Leute von FireEye wollen sich bloß ins Gespräch bringen.
150 Mio. _Installationen_. Das kann also auch eine App sein, die dafür extrem verbreitet ist.
@Thomas @Hauser:
Wie eigentlich immer bei Artikeln gilt, keiner zwingt euch sie zu lesen. Und habt ihr euch eigentlich auch mal gefragt, ob ihr die Materie vielleicht nicht vollständig erfaßt habt? Insbesondere Herr Hauser mit seinem diffamierendem „German Angst“. Erstens impliziert dies german = schlecht was genauso dämlich ist wie german = gut, zweitens ist nicht die ganze Welt german, auch wenn mancher Spinner das mal so haben wollte. Fakt ist, daß Firmen weltweit sich Sorgen machen. Aber sicherlich nur aus german Angst und unnötiger Panikmache. Gegenfrage, wie hieß nochmal die schöne Serie mit Dieter Krebs, aus der Dieter Nuhr so schön zitierte? 🙂
In diesem Sinne: Danke Caschy, daß Du berichtest worüber Du berichten möchtest und nicht darüber, was andere hören wollen 🙂
@ Fraggle. Ich kritisiere Caschy nicht dafür ,dass er das tut was gut für sein Geschäft ist. Dieses Thema ist ein Dauerbrenner und generiert nun mal Klicks und somit Kohle. Ich finds lustig, dass aber alle sich daran aufgeilen. Als obs wirklich so Schlimm wäre wie überall (nicht nur hier) berichtet wird. Unternehmen wie FireEye nutzen eben die Gunst der Stunde um ins Gespräch zu kommen und sich zu profilieren.
PS: In den Kommentaren darf man auch mal kritisch gegenüber einem Thema und die Berichterstattung sein. Wo kommen wir denn da hin wenn alle die selbe Meinung hätten. Dann bräuchte man die Kommentarfunktion nicht. Deswegen, überlass mal mir die Entscheidung ob ich kommentiere oder nicht. Das hast du mir nicht vorzuschreiben 😉
@Thomas @Hauser:
was sollte man schon mit Totalzugriff auf Server/Geräte schon tun können …
@Thomas: Ein kleiner Blick in die Statistik der letzten 30 Tage berichtet mir gerade davon, dass EIN Artikel zum Thema in den (ACHTUNG!) „Top-Beiträgen“ ist. Als Nummer 49. So viel dazu, dass ich das hier für die Klicks mache und nicht, um zu sensibilisieren und das Thema wachzuhalten. Cheers!
Wie sieht denn so ein angriff aus? Eine APP greift sich ja nicht selbst an und eine zweite APP ist in ihrer eigenen Sandbox (root mal ignorierend)
Wo setzt hier ein angriff an?
@Jens
durch den Bug kannst du in der Sandbox von dem jeweiligen Programm „einfach“ Zugriff auf das jeweilige Programm erhalten. Das kann unter Umständen (je nach dem welches Programm) schon blöd werden. Dann müsste man noch einen 2. Bug haben um aus der Sandbox heraus zu kommen. Unmöglich ist das nicht, aber ich glaube nicht das das so ohne weiteres Automatisch klappt. Ob das jetzt insgesamt auf dem Handy einen Gefahr darstellt würde ich mal bezweifeln, denn die Geheimdienste können so oder so auf dein Handy via den Backdoors im Telefon-Radio und die normalen Verbrecher werden kaum soviel Aufwand betreiben für einen alleine.