Android-App-Downloads: Millionen sind weiterhin von Heartbleed-Fehler betroffen

Auch wenn die Zahl bereits gesunken ist, waren vor einer Woche immer noch 150 Millionen betroffen. In der Studie von FireEye sind nur Apps aus Googles Play Store berücksichtigt. Offenbar liefern die meisten Heartbleed-Scanner für Android keine zuverlässigen Ergebnisse.

Am 10. April waren einer einer Studie von FireEye zufolge weltweit noch rund 220 Millionen Apps auf Android-Geräten installiert, die eine für Heartbleed anfällige Version der OpenSSL-Bibliothek enthalten. Bis zum 17. April sank die Zahl auf 150 Millionen. Allerdings hat FireEye nur Apps aus Googles Play Store analysiert, die mehr als 100.000-Mal heruntergeladen wurden.

OpenSSL-Bug Heartbleed

Einige der Entwickler der 54.000 von FireEye untersuchten Apps hat das Sicherheitsunternehmen inzwischen informiert. Es machte allerdings keine Angaben zu den betroffenen Anwendungen.

„Glücklicherweise scheint es so, als nähmen die meisten Entwickler die Heartbleed-Lücke ernst, da wir erste Apps mit sauberen Fixes sehen“, schreiben die FireEye-Mitarbeiter Yulong Zhang, Hui Xue und Tao Wie in einem Blogeintrag. Obwohl mit Android 4.1.1 nur eine einzige Version von Googles Mobilbetriebssystem betroffen sei, gebe es doch zahlreiche anfällige Apps mit nativen SSL-Bibliotheken, die direkt oder indirekt auf OpenSSL basierten und persönliche Daten preisgeben könnten.

FireEye zufolge können zwar inzwischen einige Sicherheitstools die Heartbleed-Lücke auf Android-Geräten erkennen, aber nicht alle scannten auch die installierten Apps. Nur 6 von 17 untersuchten Tools enthielten diese Funktion. „Von den sechs melden zwei alle installierten Apps als ’sicher‘, inklusive denen, die wir als anfällig bestätigt haben“, heißt es weiter in dem Blogeintrag von FireEye. „Nur zwei führten eine gründliche Prüfung auf für Heartbleed anfällige Apps durch.“ Außerdem seien gefälschte Heartbleed-Scanner im Umlauf, die FireEye als Adware einstuft.

Die Entwickler des OpenBSD-Betriebssystems haben indes eine LibreSSL genannte Alternative für OpenSSL zur Verfügung gestellt. Dieser Fork der Verschlüsselungsbibliothek hat weniger Code, um sie schlanker und sicherer zu machen. Das erste OS, das LibreSSL verwenden wird, ist OpenBSD 5.6.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anja Schmoll-Trautmann
Autor: Anja Schmoll-Trautmann
Redakteurin
Anja Schmoll-Trautmann Anja Schmoll-Trautmann Anja Schmoll-Trautmann

Neueste Kommentare 

Noch keine Kommentare zu Android-App-Downloads: Millionen sind weiterhin von Heartbleed-Fehler betroffen

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *