Android-Apps anfällig für Heartbleed: Was ist das Risiko und wie kann es gemindert werden?

Zahlreiche Websites haben sich gegen die Bedrohung durch Heartbleed geschützt, eine Sicherheitslücke, die den Zugriff auf private Daten der Benutzer ermöglicht. Leider ist auch Android von diesem Fehler betroffen und für mehrere Apps müssen noch Patches installiert werden, was die Benutzer und vor allem ihre Privatsphäre gefährdet. Genauer gesagt wären mehr als 150 Millionen App-Downloads für dieses Betriebssystem anfällig für den Heartbleed-Bug, wie aus einer Sicherheitsuntersuchung hervorgeht, die von drei FireEye-Forschern durchgeführt wurde: Yulong Zhang, Hui Xue und Tao Wei. „Für die Android-Plattform haben wir festgestellt, dass ungefähr 150 Millionen Android-App-Downloads OpenSSL-Bibliotheken enthalten, die anfällig für Heartbleed sind“, heißt es in dem Bericht. Genau genommen sind die meisten Android-Versionen nicht grundsätzlich anfällig für Heartbleed, da das System die betroffene OpenSSL-Variante nicht standardmäßig verwendet. Die Ausnahme ist Android 4.1.1 und, einigen Analysen zufolge, bestimmte benutzerdefinierte Builds von 4.2.x. Das größte Problem stellen einzelne Anwendungen dar, die häufig ihre eigene OpenSSL-Bibliothek integrieren und so Angreifern selbst auf Geräten Tür und Tor öffnen, die ohnehin nicht anfällig wären. Warum wirkt sich Heartbleed auf Android und seine Apps aus? Heartbleed nutzt einen Fehler in der TLS/DTLS-Heartbeat-Erweiterung in OpenSSL aus, der es ermöglicht, Fragmente des Prozessspeichers zu lesen (normalerweise bis zu 64 KB pro Anfrage). Im mobilen Bereich ist die Gefährdung an zwei Fronten zu beobachten: Einerseits durch Apps, die statisch auf anfälliges OpenSSL verweisen, und andererseits durch Verbindungen zu Servern, die noch nicht gepatcht wurden. Sogar das sogenannte Reverse Heartbleed wurde beschrieben, bei dem ein Client (die App auf dem Telefon) Speicher verlieren kann, wenn er eine Verbindung zu einem bösartigen Server herstellt. Gefährdete Android-Versionen und -Apps Google hat darauf hingewiesen, dass Android 4.1.1 anfällig ist und einen Patch vorbereitet, dessen Bereitstellung jedoch von Herstellern und Netzbetreibern abhängt, sodass es bei einigen Geräten eine Weile dauerte, bis der Fix verfügbar war. Darüber hinaus wurden einige Modelle mit angepasster Version 4.2.x als potenziell in gleicher Weise betroffen gekennzeichnet. Der dominierende Vektor ist in jedem Fall die App, die mit ihrem eigenen OpenSSL ausgestattet ist: Wenn diese Version anfällig ist, bleibt das Risiko auch dann bestehen, wenn das System aktualisiert wird. Bei Geräten mit 4.1.1 kann jede Anwendung betroffen sein, die OpenSSL zum Herstellen von SSL/TLS-Verbindungen verwendet. Unabhängige Untersuchungen haben Hunderte von Apps gefunden, die statisch auf die anfällige Bibliothek verweisen. Dazu gehören beliebte Spiele, VPN-Clients, eine Sicherheits-App, ein Videoplayer, eine Messaging-App, eine VoIP-Telefon-App und andere beliebte Kategorien. Im schlimmsten Fall könnte ein Angreifer Sitzungstoken, Anmeldeinformationen oder sogar private Schlüssel extrahieren, die vom Client verwendet werden. Was die Sicherheitsanalyse aussagt: Trend Micro hat Hunderttausende von Apps im Google Play Store analysiert und festgestellt, dass mindestens 1.300 Apps anfällig für Heartbleed sein könnten. Bei der anschließenden Überwachung stellten sie fest, dass Tausende von Apps (etwa 6.000 und dann 7.000) eine Verbindung zu immer noch anfälligen Servern aufbauten. Die am stärksten betroffenen Kategorien waren Lifestyle und Unterhaltung/Freizeit mit jeweils 13 %, was die Tatsache unterstreicht, dass viele Daten wie Adresse, Zahlungsmethoden oder Anmeldeinformationen auf Servern speichern. Wie wir lesen können, handelt es sich bei den meisten dieser anfälligen Apps um Videospiele. Die positive Seite ist, dass sie nicht viele nützliche Daten enthalten, abgesehen von der Möglichkeit, sie mit unseren Facebook- oder Twitter-Konten zu synchronisieren, was für böswillige Benutzer attraktiver ist. Andererseits verwenden sechs der 17 bei Google Play verfügbaren Scanner zum Erkennen von Heartbleed-Problemen keine geeignete Methode und sind daher nicht in der Lage, unser Android vor der Bedrohung zu schützen. Den Forschern zufolge gelang es nur zweien, die anfälligen Apps zu finden (sie nannten keine Namen), daher ist es ratsam, Wunderlösungen gegenüber auf der Hut zu sein und seriösen Quellen den Vorzug zu geben. Trotz all dieser Nachteile ist es erwähnenswert, dass die Anzahl der Downloads potenziell anfälliger Android-Apps deutlich zurückgegangen ist – von 220 Millionen auf nur 17 Millionen in kurzer Zeit. Dies zeigt, dass praktisch alle Entwickler die Heartbleed-Bedrohung sehr ernst genommen haben. Praktische Empfehlungen – Aktualisieren Sie Ihr System nach Möglichkeit auf eine neuere Version als 4.1.1 und wenden Sie alle Sicherheitspatches des Herstellers/Betreibers an. - Aktualisieren Sie Ihre Apps. Entwickler sollten mit dem korrigierten OpenSSL neu kompilieren und neue Versionen veröffentlichen. - Wenn Sie VPN-/VoIP-Clients verwenden, überprüfen Sie, ob Ihr Anbieter die Patches bestätigt hat, bevor Sie ihm vertrauliche Daten anvertrauen. - Vermeiden Sie in der Zwischenzeit die Eingabe von Bankdaten in Apps oder Diensten, die ihre Korrektur nicht mitgeteilt haben. - Ändern Sie Passwörter nur, wenn der Dienst anzeigt, dass Sie bereits geschützt sind; vorher ist es sinnlos. - Scanner bei Google Play können hilfreich sein, aber denken Sie daran, dass nicht alle von ihnen eine gute Erkennung bieten. Bevorzugen Sie Tools von seriösen Unternehmen. - Zum Kontext: Plattformen wie iOS/macOS verwenden unterschiedliche Bibliotheken (Secure Transport) und wichtige Microsoft-Dienste sind Berichten zufolge nicht betroffen, obwohl für bestimmte plattformübergreifende Apps Patches erforderlich waren. Heartbleed hat gezeigt, wie fragil die Client-Server-Kette sein kann, wenn eine kritische Bibliothek ausfällt. Unter Android konzentriert sich das Risiko auf ältere Builds und Apps mit anfälligem OpenSSL sowie auf Dienste, die noch nicht gepatcht sind. Der effektivste Ansatz besteht weiterhin darin, Ihr Gerät und Ihre Apps auf dem neuesten Stand zu halten, die Offenlegung vertraulicher Daten zu begrenzen und sich auf Anbieter zu verlassen, die ihre Fehlerbehebungen transparent kommunizieren. Über BGR.