Insbesondere mehr als 150 Millionen Anwendungsdownloads für dieses Betriebssystem wären anfällig für den Fehler Heartbleed, laut einer Sicherheitsuntersuchung der drei FireEye-Forscher Yulong Zhang, Hui Xue und Tao Wei. „Für die Android-Plattform haben wir festgestellt, dass etwa 150 Millionen Android-App-Downloads OpenSSL-Bibliotheken enthalten, die anfällig für Heartbleed sind“, heißt es in dem Bericht.
Genau genommen, Die meisten Android-Versionen sind von sich aus nicht anfällig. zu Heartbleed, da das System die betroffene OpenSSL-Variante standardmäßig nicht verwendet. Die Ausnahme ist Android 4.1.1 und einigen Analysen zufolge bestimmte benutzerdefinierte Builds von 4.2.xDas große Problem sind einzelne Anwendungen, die oft ihre eigene OpenSSL-Bibliothek, wodurch Angreifern selbst auf Geräten Tür und Tor geöffnet bleiben, die grundsätzlich nicht anfällig wären.
Warum wirkt sich Heartbleed auf Android und seine Apps aus?
Heartbleed nutzt einen Fehler in der TLS/DTLS-Heartbeat-Erweiterung innerhalb von OpenSSL, das das Lesen von Fragmenten des Prozessspeichers ermöglicht (normalerweise bis zu 64 KB pro Anfrage). In der Mobilität erfolgt die Exposition an zwei Fronten: Einerseits Apps, die anfälliges OpenSSL statisch verknüpfen; für einander, Verbindungen zu Servern, die noch nicht gepatcht wurden. Sogar die sogenannte wurde beschrieben Umgekehrtes Heartbleed, bei dem ein Client (die App auf dem Telefon) Speicher verlieren kann, wenn er eine Verbindung zu einem bösartigen Server herstellt.
Gefährdete Android-Versionen und Apps
Google gab an, dass Android 4.1.1 war verwundbar und bereitete eine parche, aber die Bereitstellung hängt von Herstellern und Betreibern ab, sodass es bei manchen Geräten eine Weile dauerte, bis der Fix verfügbar war. Darüber hinaus einige Modelle mit angepasster 4.2.x wurden als potenziell durch denselben Weg beeinflusst identifiziert. In jedem Fall ist der dominante Vektor die App, die mit eigenem OpenSSL geliefert wird- Wenn diese Version anfällig ist, bleibt das Risiko auch dann bestehen, wenn das System aktualisiert wird.
Für Geräte mit 4.1.1: Jede Anwendung, die OpenSSL zum Herstellen von Verbindungen verwendet SSL / TLS kann betroffen sein. Unabhängige Forschung hat ergeben Hunderte von Apps, die statisch verknüpft sind die gefährdete Buchhandlung. Darunter gibt es beliebte Spiele, VPN-Clientseinem Sicherheits-App, ein Videoplayereinem Messaging-Anwendung, eine App von VoIP-Telefonie und andere gängige Kategorien. Im schlimmsten Fall könnte ein Angreifer extrahieren Sitzungstoken, Referenzen oder auch private Schlüssel vom Client verwendet.
Was die Sicherheitsanalysen sagen
Trend Micro analysierte Hunderttausende von Apps auf Google Play und fand heraus, dass mindestens 1.300 Bewerbungen bleiben könnte wehrlos von Heartbleed. Bei der anschließenden Überwachung stellten sie fest, dass Tausende von Apps (um herum 6.000 und dann 7.000) waren verbunden mit Server weiterhin anfälligDie am stärksten betroffenen Kategorien waren Lebensstil y Unterhaltung/FreizeitMit einem jeweils 13 %, wobei hervorgehoben wird, dass viele Daten wie Adresse auf dem Server speichern, Zahlungsmethoden oder Anmeldeinformationen.
Wie wir lesen können, sind die meisten dieser anfälligen Apps VideospieleDas Positive daran ist, dass sie nicht zu viele nützliche Daten enthalten, abgesehen von der Möglichkeit, sie mit unseren Konten zu synchronisieren. Facebook o Twitter, etwas, das für böswillige Benutzer interessanter ist. Andererseits der 17 bei Google Play verfügbaren Scanner um Probleme mit Heartbleed zu erkennen, 6 von ihnen verwenden keine geeignete Methode, nicht ausreichend, um unser Android vor der Bedrohung zu schützen. Laut den Forschern selbst, nur zwei haben einen anständigen Job gemacht Suche nach anfälligen apps (sie geben keine Namen), so ist es am besten, vorsichtig zu sein von Wunderlösungen und priorisieren Sie seriöse Quellen.
Trotz all dieser Nachteile müssen wir jedoch betonen, dass Die Anzahl der Downloads potenziell anfälliger Android-Anwendungen ist deutlich zurückgegangen, gehen von 220 millones nur um 17 in kurzer Zeit, was zeigt, dass fast alle Entwickler die Heartbleed-Bedrohung sehr ernst genommen haben.
Empfehlungen für die Praxis
- Aktualisieren Sie das System wenn möglich auf eine neuere Version als 4.1.1 und wenden Sie alle Sicherheitspatches des Herstellers/Betreibers an. – Aktualisieren Sie Ihre Apps; Entwickler müssen neu kompilieren mit OpenSSL behoben und neue Versionen veröffentlichen. – Wenn Sie Clients verwenden VPN/VoIPStellen Sie sicher, dass Ihr Anbieter die Patches bestätigt hat, bevor Sie ihm vertrauliche Daten anvertrauen.
– Vermeiden Sie in der Zwischenzeit die Einführung Bankinformationen in Apps oder Diensten, die ihre Korrektur nicht kommuniziert haben. – Ändern passwörter Nur wenn der Dienst anzeigt, dass er bereits geschützt ist; vorher ist es nutzlos. – Scanner bei Google Play können helfen, aber denken Sie daran, dass Nicht jeder erkennt gut; priorisiert Werkzeuge für anerkannte Unternehmen– Als kontextuelle Referenz dienen Plattformen wie iOS/macOS Sie nutzen verschiedene Bibliotheken (Secure Transport) und große Dienste Microsoft haben angegeben, dass sie nicht betroffen sind, obwohl plattformübergreifende Apps gelegentlich mussten Patches installiert werden.
Heartbleed hat gezeigt, wie fragil die Kette zwischen Client und Server sein kann, wenn ein kritische Buchhandlung Ausfall. Auf Android konzentriert sich das Risiko in alte Builds und Apps mit anfälligem OpenSSL, sowie Dienste, die noch nicht gepatcht sind. Halten Sie Ihr Gerät und Ihre Apps auf dem neuesten Stand, begrenzen Sie die Offenlegung sensibler Daten und verlassen Sie sich auf Anbieter, die mit Transparenz seine Korrekturen bleiben die wirksamste Formel.
Über BGR.