Android-Apps für OpenSSL-Lücke anfällig

FireEye: 150 Millionen Android-App-Downloads von Heartbleed betroffen

Moritz Jäger ist freier Autor und Journalist in München. Ihn faszinieren besonders die Themen IT-Sicherheit, Mobile und die aufstrebende Maker-Kultur rund um 3D-Druck und selbst basteln. Wenn er nicht gerade für Computerwoche, TecChannel, Heise oder ZDNet.com schreibt, findet man ihn wahlweise versunken in den Tiefen des Internets, in einem der Biergärten seiner Heimatstadt München, mit einem guten (e-)Buch in der Hand oder auf Reisen durch die Weltgeschichte.
Der Sicherheitshersteller FireEye meldet, dass noch immer Android-Apps von der OpenSSL-Lücke Heartbleed betroffen sind. Nutzer sollten verfügbare Updates schnellstmöglich installieren.
Foto: Kirill_M - Fotolia.com

Heartbleed und kein Ende: Die Anfang April gefundene Sicherheitslücke im Verschlüsselungsprogramm OpenSSL ist zwar auf vielen Server-Systemen inzwischen behoben, allerdings sind viele Android-Apps noch immer anfällig. Das geht aus einer Studie des Sicherheitsanbieters FireEye hervor. Vor allem installierte Anwendungen sind demnach betroffen, so die Forscher. Aktuell seien die anfälligen Applikationen rund 150 Millionen Mal heruntergeladen worden. Am 10. April 2014 hat FireEye mehr als 54.000 Google Play Apps untersucht (jede mit über 100.000 Downloads) und herausgefunden, dass mindestens 220 Millionen Downloads von der Heartbleed-Schwachstelle betroffen sind.

Zwar gibt es laut FireEye etwa 17 Applikationen, die Android-Smartphones auf die Heartbleed-Lücke testen (etwa der bereits vorgestellte Heartbleed Detector von Lookout ) nur sechs davon prüfen aber auch die installierten Anwendungen auf Schwachstellen. Nur wenn aber auch die lokalen Apps geprüft werden, ist sichergestellt, dass sich die Lücke nicht ausnutzen lässt. Eine solche Anwendung, die auch die Applikationen überprüft, ist der kostenlose Heartbleed Detector von Trend Micro.

FireEye hat einige App-Entwickler und Anbieter von Bibliotheken über die OpenSSL-Heartbleed-Schwachstelle in ihren Produkten informiert. Die gute Nachricht: Die meisten davon scheinen Heartbleed ernst zu nehmen, denn einige der Apps wurden in der Folge bereits mit entsprechenden Updates versorgt. Dadurch hat sich die Gesamtanzahl angreifbarer App-Downloads bereits verringert. (CIO.de/mb)

Zur Startseite