CM 12.1: Cyanogen schließt Poodle-Lücke

von Anja Schmoll-Trautmann am , 10:23 Uhr

In aktuellen Nightlies tauchte die eigentlich längst geschlossene Poodle-Lücke wieder auf. Unsere ZDNet-Kollegen machten die Cyanogen-Entwickler darauf aufmerksam und nach einem Tag war die Lücke geschlossen.

Die Poodle-Lücke [1], die Google [2]-Forscher entdeckt hatten, wurde von Cyanogen eigentlich bereits im Dezember 2014 [3] geschlossen. In aktuellen Nightly-Builds von CM 12.1 auf Basis von Android [4] 5.1.1 tauchte die Schwachstelle aber plötzlich wieder auf. Unsere Kollegen von ZDNet informierten daraufhin die Entwickler [5]. Sie konnten die Lücke innerhalb kürzester Zeit beheben. Nightly-Versionen ab dem 23.6.2015 weisen die Poodle-Lücke nicht mehr auf.

Kurz nachdem ZDNet Cyanogen über die Poodle-Lücke des integrierten Browsers informiert hat, haben die Entwickler die Schwachstelle geschlossen (Screenshot: ZDNet.de). [6]

Kurz nachdem ZDNet Cyanogen über die Poodle-Lücke des integrierten Browsers informiert hat, haben die Entwickler die Schwachstelle geschlossen (Screenshot: ZDNet.de).

Der in CM 12.1 integrierte Browser ist auch gegenüber anderen SSL-Schwachstellen wie Logjam [7] und Freak [8] immun, was sich leider nicht von Browservarianten sagen lässt, die die Smartphonehersteller in ihren Android-Versionen integrieren. So sind beispielsweise das Huawei P8 und P8 Lite anfällig gegen alle drei SSL-Schwachstellen, die von dem Qualys-Test [9] überprüft werden. Das Galaxy Note Edge besteht zwar den Poodle- und Freak-Test, fällt aber bei der Überprüfung der Logjam-Schwachstelle durch. So verhält sich auch das LG [10] G4, während das G Flex 2 den Poodle- und den Freak-Test nicht besteht.

Anwender sollten überprüfen, ob ihr Gerät von den bekannten Schwachstellen betroffen ist, um sich nicht unnötigen Gefahren auszusetzen. Dies lässt sich mit dem Qualys-Test [9] erledigen, den man einfach mit dem Browser aufruft. Sollte der Browser von einer der Sicherheitslücken betroffen sein, empfielt sich der Wechsel zu einer sicheren Variante wie Firefox [11] oder Chrome [12].

Da viele Anwendungen die in Android integrierte Webview [13]-Komponente zur Darstellung von HTML-Code nutzen, ist eine Überprüfung dieser ebenfalls ratsam. Hierfür eignet sich der Android-Browser Webview Developer [14]. Fällt das Ergebnis mit dem Qualys-Test negativ aus, sollte eine Aktualiserung der Webview-Komponente [15] erfolgen. Dies ist aber erst ab Android 4.4. möglich, sodass circa 55 Prozent der Android-Anwender, so viele Android-Geräte laufen derzeit noch mit Versionen bis 4.3, nicht in den Genuss der neuesten Webview-Variante kommen.

[Mit Material von Kai Schmerer, ZDNet.de [16]]

Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de [17]

Die Nightlies von CM 12.1 ab dem 23.6.2015 weisen die Poodle-Lücke nicht mehr auf (Screenshot: ZDNet.de) [18]

Die Nightlies von CM 12.1 ab dem 23.6.2015 weisen die Poodle-Lücke nicht mehr auf (Screenshot: ZDNet.de)

Artikel von CNET.de: https://www.cnet.de

URL zum Artikel: https://www.cnet.de/88152755/cm-12-1-cyanogen-schliesst-poodle-luecke/

URLs in this post:

[1] Poodle-Lücke: http://www.zdnet.de/88208027/google-entdeckt-schwere-sicherheitsluecke-ssl-3-0/

[2] Google: http://www.cnet.de/unternehmen/google-inc/

[3] Dezember 2014: http://www.zdnet.de/88211018/cyanogenmod-erste-cm12-nightlies-mit-android-5-0-kommen-spaetestens-anfang-dezember/

[4] Android: http://www.cnet.de/themen/android/

[5] informierten daraufhin die Entwickler: https://jira.cyanogenmod.org/browse/NIGHTLIES-1444

[6] Image: http://www.cnet.de/wp-content/uploads/2015/06/cyanogenmod-jira-poodle.jpg

[7] Logjam: http://www.zdnet.de/88235247/logjam-neue-sicherheitsluecke-schwaecht-verschluesselung-von-https-verbindungen/

[8] Freak: http://www.zdnet.de/88220818/sicherheitsluecke-freak-bedroht-apple-und-android-geraete-blackberry-auch-betroffen/

[9] Qualys-Test: https://www.ssllabs.com/ssltest/viewMyClient.html

[10] LG: http://www.cnet.de/unternehmen/lg/

[11] Firefox: https://play.google.com/store/apps/details?id=org.mozilla.firefox&hl=de

[12] Chrome: https://play.google.com/store/apps/details?id=com.android.chrome

[13] Webview: http://www.zdnet.de/88221502/google-schliesst-freak-luecke-android-webview/

[14] Webview Developer: https://play.google.com/store/apps/details?id=com.webviewbrowser&hl=de

[15] Webview-Komponente: https://play.google.com/store/apps/details?id=com.google.android.webview

[16] ZDNet.de: http://www.zdnet.de/88238871/cyanogen-schliesst-poodle-luecke-in-cm-12-1/

[17] Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de: http://www.silicon.de/quiz/sind-sie-ein-android-kenner-23-1/

[18] Image: http://www.cnet.de/wp-content/uploads/2015/06/cyanogenmod-cm12-1-poodle.jpg