Heartbleed-Bug: OpenSSL-Lücke steckt auch in Android 4.1 Jelly Bean

Die OpenSSL-Sicherheitslücke ist in Android 4.1.1 Jelly Bean vorhanden. Mit der Android-App Heartbleed Detector können Besorgte ihr Smartphone oder Tablet überprüfen. Angaben zu einem Patch sind derzeit nur vage. Betroffene sollten auf Updates für ihr Gerät achten.

Googles Betriebssystemversion Android 4.1 Jelly Bean ist Sicherheitsexperten zufolge ebenfalls von der kürzlich entdeckten OpenSSL-Lücke respektive dem Heartbleed-Bug betroffen. Etwas unklar ist derzeit noch, welche genauen Versionen des mobilen OS, das noch auf einem Drittel aller Android-Smartphones läuft, anfällig sind.

Heartbleed-Bug: OpenSSL-Lücke steckt auch in Android 4.1 Jelly Bean

Die OpenSSL-Sicherheitslücke ist in Android 4.1.1 Jelly Bean vorhanden. Mit der Android-App Heartbleed Detector können Besorgte ihr Smartphone oder Tablet überprüfen. Angaben zu einem Patch sind derzeit nur vage. Betroffene sollten auf Updates für ihr Gerät achten (Bild: CNET.com )

Aufgedeckt wurde dies von Sicherheitsforschern des SANS ICS-Institute in Australien. Es wird derzeit davon ausgegangen, dass nur 4.1.1 die Heartbleed-Sicherheitslücke in OpenSSL aufweist, wie Google auch per Blogbeitrag mitteilt. Einigen Berichten zufolge sei aber auch 4.1.0 betroffen.

Angaben zu einem Patch, der die Lücke schließt, sind derzeit nur vage. In dem Blogbeitrag schreibt Google lediglich, dass die benötigen Informationen für ein Update an die Android-Partner verteilt werden. James Lyne, leitender Sicherheitsforscher bei Sophos, sieht die Verantwortung vor allem bei den Mobilfunkprovider. “In vielen Fällen sind es nicht die Anwender und auch nicht die der Hardware-Anbieter, sondern die Telefongesellschaften, die nicht verantwortungsbewusst handeln.”

Aktuell scheint es nicht viel zu geben, was Android-Nutzer, die noch mit Android 4.1.1 arbeiten, tun können. Lookout, der Entwickler von Sicherheitssoftware, hat eine Android-App entwickelt, mit der Smartphone-Besitzer immerhin herausfinden können, ob ihr Gerät anfällig für den Heartbleed-Bug ist. Die Anwendung heißt Heartbleed Detector und steht in Googles Play Store zum Download bereit. Betroffene sollten überprüfen, ob Updates für ihr Smartphone oder Tablet vorhanden sind und diese sobald sie zur Verfügungen stehen einspielen.

Die gute Nachricht für alle Betroffenen ist, dass derzeit noch keine Attacken auf mobile Geräte registriert wurden. Und während durchaus ein Risiko besteht, sei die Wahrscheinlichkeit jedoch eher gering, dass Anwender einem Exploit begegnen, das die Sicherheitslücke ausnutzt, wie Lookout erklärt.

Auf der Veranstaltung des SANS Institute verschärften einige Redner zudem ihre Kritik an der Informationspolitik vieler Firmen. Vor allem Banken informierten ihre Kunden nicht darüber, ob sie auch von Heartbleed betroffen seien. Einige Organisationen hätten zwar Pressemitteilungen (wie Deutsche Kreditwirtschaft) herausgegeben, sie enthielten aber nicht ausführliche Informationen. Eine Bank habe beispielsweise behauptet, sie hätte bereits Maßnahmen gegen einen Datendiebstahl ergriffen und auch einen Patch installiert, sagte Williams. Das von der Bank benutzte SSL-Zertifikat sei jedoch am 4. Dezember 2012 erstellt worden und damit unsicher.

“Wenn sie tatsächlich betroffen waren und einen Patch einspielen mussten, dann erschreckt es mich zu Tode, dass sie nach dem Patch das Zertifikat nicht neu ausgestellt haben”, sagte Williams. Die Bank sei aber nur ein Beispiel für die “Mittelmäßigkeit” vieler Organisationen, “was jeden hier im Saal erschrecken sollte.”

Apple hat indes gegenüber Recode bestätigt, dass seine Webseite sowie Betriebssysteme iOS und OS X nicht von dem Heartbleed-Bug betroffen sind. “iOS und OS X enthielten niemals die anfällige Software, und auch wichtige webbasierte Dienste waren nicht betroffen”, sagte ein Apple-Sprecher dem Blog.

Die Sicherheitslücke in OpenSSL CVE-2014-0160, auch Heartbleed-Bug genannt, wurde von der Sicherheitsfirma Codenomicon und Google-Forscher Neel Mehta entdeckt. Sie besteht seit gut zwei Jahren. Dadurch ist Zugriff auf 64 KByte des flüchtigen Speichers eines Webservers möglich. Welche Informationen aus diesen 64 KByte auslesbar sind, ist allerdings Zufall. Trotzdem besteht die Gefahr, dass Angreifer sensible Informationen wie Zugangsdaten abgreifen können. Ob die Heardbleed-Lücke auch tatsächlich ausgenutzt wurde, kann derzeit niemand mit Sicherheit sagen. Zwar wurden die meisten Webseiten und Dienste mittlerweile gepatcht, im Grunde müsste aber jeder Nutzer einer gefährdeten Seite sein Passwort wechseln, da es längst kompromittiert sein könnte. Weitere Informationen hält folgender Artikel bereit.

[Mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Autor: Christian Schartel
Christian Schartel Christian Schartel Christian Schartel

Neueste Kommentare 

Noch keine Kommentare zu Heartbleed-Bug: OpenSSL-Lücke steckt auch in Android 4.1 Jelly Bean

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *