Mehr als 150 Millionen Android-App-Downloads vom OpenSSL-Fehler betroffen
Doch nicht nur Jelly-Bean betroffen
Bild: Heartbled.com / Google Montage: teltarif.de
Es wird nicht ruhig um den Heartbleed-Bug. Zur Erinnerung: Durch den Fehler ist es Angreifern möglich, Informationen, die eigentlich verschlüsselt sein sollten, abzufangen und wieder zu entschlüsseln. Damit aber noch nicht genug: Die Lücke ermöglichte es auch, die privaten Schlüssel der Server zu entwenden. Sie werden zur Verschlüsselung genutzt. Einmal im Besitz dieser Schlüssel können alle Informationen entschlüsselt werden.
Doch nicht nur Jelly-Bean betroffen
Bild: Heartbled.com / Google Montage: teltarif.de
Vor zwei Wochen wies Google darauf hin, dass Android von der Lücke in der OpenSSL-Bibliothek betroffen sei. Dies betraf allerdings nur die Android-Version 4.1.1, die laut Statistik nur noch vergleichsweise selten genutzt wird. Das Problem hier: Die Nutzer müssen auf Aktualisierungen durch den Hersteller warten. Nun haben drei Mitarbeiter der Sicherheitsfirma Fireeye eine weitere Schwachstelle aufgedeckt
[Link entfernt]
. Das Fatale: Sie betrifft alle Android-Versionen.
Android-Apps nutzen unsichere Version der OpenSSL-Bibliothek
Die Wissenschaftler überprüften eigenen Angaben zufolge 54 000 Apps aus dem Play-Store, wobei jede mehr als 100 000 Downloads aufwies. Nach diesem ersten Scan zeigte sich, dass rund 220 Millionen Downloads betroffen waren. Nachdem die Firma die Entwickler der betroffenen Applikationen über die Sicherheitslücke informiert hatte, wurden einige der Applikationen bereits mit Updates versorgt. Bei einem wiederholten Scan waren dann nur noch rund 150 Millionen Downloads betroffen. Wie viele Applikationen oder Nutzer durch diese Fehler betroffen sind, lässt sich anhand der Download-Zahlen nicht sagen.
Dies ist wohl eine Maßnahme von Fireeye, um die betroffenen Apps vor Angriffen zu schützen und den Entwicklern Zeit für Updates zu geben. Was die Firma aber bekannt gab ist, dass es sich bei vielen der Programme um Spiele für Smartphones handelt. Hier ist das Vorhandensein der Sicherheitslücke eigentlich nur ein Problem, wenn die App Daten über das Internet überträgt. Viele Spiele erlauben heute aber beispielsweise die Bekanntgabe der Highscores über Twitter oder Facebook, sodass es Angreifern theoretisch möglich wäre, die Zugangsdaten zu den sozialen Netzwerken zu entwenden.
Neben Spielen sind anscheinend einige Office-Anwendungen von der Sicherheitslücke betroffen. Einige von ihnen, so Fireeye, würden aber durch Programmierfehler ohnehin die sichere OpenSSL-Version von Android benutzen und nicht die eigentlich in der App integrierte. Zudem weisen die Wissenschaftler darauf hin, dass nur zwei von 17 im Play-Store beworbene Heartbleed-Detektoren Applikationen wirklich gründlich prüfen. Leider bleiben sie auch hier Namen schuldig.
Gründung der Core Infrastructure Initiative als Reaktion auf den Heartbleed-Bug
Als Reaktion auf die Sicherheitslücke haben sich mehrere IT-Giganten in der Core Infrastructure Initiative zusammengeschlossen. Zu diesen Firmen gehören beispielsweise Dell, Facebook, Microsoft, Amazon, Intel, IBM und Google. Das erklärte Ziel der Gruppe ist es, unter der Schirmherrschaft der Linux-Foundation finanzielle Mittel zur Verfügung zu stellen, um künftige Sicherheitslücken zu verhindern.
So soll es beispielsweise Entwicklern ermöglicht werden, ihr Open-Source-Programm als Vollzeit-Job zu entwickeln, sowie Sicherheits-Audits und entsprechende Infrastruktur zu finanzieren. Welche Projekte finanziell unterstützt werden, entscheidet ein Beratungsgremium, dass sich aus bekannten Open-Source-Entwicklern zusammensetzen soll.