Security

FireEye: Viele Android-Apps über Heartbleed angreifbar

Siebzehn Antivirus-Apps scannen die OpenSSL-Bibliothek von Android nach Heartbleed-Schwachstellen. Doch nicht die Plattform ist das Problem, zahlreiche Apps sind es.

24.04.2014, 17:31 Uhr
SMS© TristanBM / Fotolia.com

Siebzehn Antivirus-Apps im Google Play Store sollen die Sicherheitslücke Heartbleed aufspüren können. Sechs davon scannen die OpenSSL-Bibliothek, die zur Android-Plattform gehört, nach Schwachstellen. Doch laut FireEye ist nicht die Android-Plattform das Problem, sondern zahlreiche Apps sind es.

Vor allem Apps sind angreifbar, nicht Android

Abgesehen von einigen Versionen (vor allem 4.1.0 bis 4.1.1) sind die meisten Android-Plattformen von Heartbleed nicht betroffen: Entweder sie nutzen OpenSSL-Bibliotheken, die über diese Schwachstelle nicht angreifbar sind, oder bei ihnen ist die OpenSSL-Heartbeat-Funktion einfach deaktiviert. Doch bei rund 150 Millionen Downloads von Android-Apps sind OpenSSL-Bibliotheken enthalten, die über die Heartbleed-Schwachstelle angreifbar sind.

Die meisten angreifbaren Apps sind Spiele, einige sind Office-Anwendungen. Die Spiele-Apps enthalten zwar nicht allzu viele wertvolle Informationen, allerdings können Angreifer OAuth-Tokens stehlen (Zugangs- und Refresh-Tokens), um die Spiele-Accounts zu kapern. Diese Information könnten Angreifer auch dazu nutzen, um Accounts in sozialen Netzwerken, die mit dem Spiel verbunden sind, mit falschen Einstellungen zu manipulieren.

Entwickler-Fehler führen zur mehr Sicherheit

Office-Apps enthalten dagegen mit höherer Wahrscheinlichkeit sensible Daten. Doch laut FireEye sind viele Office-Apps mit einer angreifbaren OpenSSL-Version gar nicht anfällig für Heartbleed-Attacken. Diese Apps enthalten entweder einen Fehler in der Verknüpfung des eigenen Codes oder einfach funktionslosen Code. Stattdessen werden dann die unbedenklichen OpenSSL-Bibliotheken des Android-Betriebssystems genutzt.

Von den 17 "Heartbleed-Detektor-Apps" in Google Play führen nur sechs einen Check der Anfälligkeit bereits installierter Apps für die Heartbleed-Schwachstelle durch. Von diesen sechs Apps zeigen zwei dem Nutzer an, alle installierten Apps seien sicher – auch wenn Apps dabei sind, deren Angreifbarkeit FireEye bestätigt hat.

Sicherheits-Apps kaum brauchbar

Eine der "Detektor-Apps" zeigt überhaupt keine Scan-Ergebnisse an, und eine weitere scannt die OpenSSL-Version nicht korrekt. Nur zwei der "Detektor-Apps" haben im FireEye-Test einen brauchbaren Check der Heartbleed-Anfälligkeit von Apps durchgeführt. Zwar arbeiteten auch sie nicht ganz korrekt und haben einige nicht angreifbare Apps als angreifbar eingestuft, aber dennoch lieferten sie einen brauchbaren Report, der sowohl auf die Schwachstellen als auch die Verknüpfungsfehler hinwies.

Auf der anderen Seite befanden sich unter den 17 "Heartbleed-Detektoren" mehrere Apps, die weder einen richtigen Scan durchführen noch überhaupt irgendwelche Ergebnisse liefern – ihre Funktion scheint in erster Linie darin zu bestehen, Werbung anzuzeigen.

(Peter Giesecke)

Kommentieren Forum

Dieser Artikel wurde noch nicht kommentiert. Schreiben Sie uns Ihre Meinung!

Zum Seitenanfang