Heartbleed auch in Android 4.1

Heartbleed (Bild: Codenomicon)

Nicht nur Web-Server, sondern auch das Mobil-Betriebssystem Android soll laut Sicherheitsforschern von der OpenSSl-Lücke Heartbleed betroffen sein.

Mit dem Heartbleed Detector von Lookout können Android-Anwender überprüfen, ob ihr Gerät vom Heartbleed-Bug betroffen sind (Screenshot: ZDNet.de).
Mit dem Heartbleed Detector von Lookout können Android-Anwender überprüfen, ob ihr Gerät vom Heartbleed-Bug betroffen sind (Screenshot: ZDNet.de).

Das OpenSSL-Leck Heartbleed zieht weite Kreise. Nun soll auch noch Android 4.1 für die Lücke anfällig sein. Das hat der Sicherheitsforscher Jake Williams, Berater bei CSR Group Computer Security Consultants, auf einer Veranstaltung des SANS Institute in Australien erklärt. In diesem Zusammenhang kritisierte er nicht nur das Leck, sondern auch die fehlende Bereitschaft von Handyherstellern, Sicherheitspatches für Geräte bereitzustellen.

Unklarheit besteht allerdings noch darüber, welche Versionen von Android 4.1 betroffen sind. Es wird angenommen, dass 4.1.0 und 4.1.1 anfällig sind, während einigen Berichten zufolge der Fehler nur in Android 4.1.1 stecken soll. Laut Williams aber läuft die Version 4.1.x noch auf mehr als einem Drittel aller funktionsfähigen Android-Geräte.

“Wenn Sie eine derartig frühe Version von Android einsetzen, sind Sie leider wahrscheinlich betroffen”, sagte Williams. Die Verfügbarkeit von Patches sei jedoch “geringer als erwünscht”. Linux hingegen, das die Grundlage für Android bildet, wird von Forschern für die schnelle Veröffentlichung eines Updates für OpenSSL gelobt.

James Lyne, leitender Sicherheitsforscher bei Sophos, sieht die Verantwortung vor allem bei den Mobilfunkprovider. “In vielen Fällen sind es die Anbieter, nicht die der Hardware, sondern die Telefongesellschaften, die nicht verantwortungsbewusst handeln.”

Auf der Veranstaltung des SANS Institute verschärften einige Redner zudem ihre Kritik an der Informationspolitik vieler Firmen. Vor allem Banken informierten ihre Kunden nicht darüber, ob sie auch von Heartbleed betroffen seien. Einige Organisationen hätten zwar Pressemitteilungen herausgegeben, sie enthielten aber nicht die notwendigen Informationen. Eine Bank habe beispielsweise behauptet, sie hätte bereits Maßnahmen gegen einen Datendiebstahl ergriffen und auch einen Patch installiert, sagte Williams. Das von der Bank benutzte SSL-Zertifikat sei jedoch am 4. Dezember 2012 erstellt worden und damit unsicher.

“Wenn sie tatsächlich betroffen waren und einen Patch einspielen mussten, dann erschreckt es mich zu Tode, dass sie nach dem Patch das Zertifikat nicht neu ausgestellt haben”, sagte Williams. Die Bank sei aber nur ein Beispiel für die “Mittelmäßigkeit” vieler Organisationen, “was jeden hier im Saal erschrecken sollte.”

Apple hat indes gegenüber Recode bestätigt, dass das Mobilbetriebssystem iOS nicht von dem Heartbleed-Bug betroffen ist. “iOS und OS X enthielten niemals die anfällige Software, und auch wichtige webbasierte Dienste waren nicht betroffen”, sagte ein Apple-Sprecher dem Blog.

Nutzer von betroffenen Websites sollten die Zugangsdaten ändern. Eine Passwortänderung sollte aber erst durchgeführt werden, wenn der betreffende Betreiber des Servers den Patch für die Lücke in OpenSSL und ein neues Zertifikat eingespielt hat.

[mit Material von Stilgherrian, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de