Aktualisiert 16.04.2014 13:09

SicherheitslückeHeartbleed bedroht 90 Millionen Android-Geräte

Die Heartbleed-Sicherheitslücke bei OpenSSL betrifft auch Smartphones und Tablets. Gefährdet sind Geräte, die mit Googles Betriebssystem 4.1.1 laufen.

von
pst
Wer ein mobiles Gerät mit Android-Betriebssystem 4.1.1 nutzt, sollte dringend ein Software-Update durchführen.

Wer ein mobiles Gerät mit Android-Betriebssystem 4.1.1 nutzt, sollte dringend ein Software-Update durchführen.

In einem Blog-Eintrag hat Google angegeben, dass alle Android-Versionen immun gegenüber der OpenSSL-Lücke seien – mit Ausnahme der Variante 4.1.1. Die 2012 veröffentlichte Jelly-Bean-Version wird gemäss Sicherheitsexperten noch immer in Millionen Smartphones und Tablets verwendet, darunter beliebte Modelle von HTC, Samsung und anderen Marken.

Von Google veröffentlichte Statistiken zeigen, dass über 34 Prozent aller Android-Geräte Varianten der 4.1-Software verwenden. Google zufolge sind weniger als zehn Prozent der aktiven Android-Geräte akut gefährdet. Allerdings sind derzeit rund 900 Millionen Android-Phones und -Tablets aktiviert, womit insgesamt 90 Millionen Geräte von der Sicherheitslücke betroffen sind.

Wie Michael Shaulov, CEO der IT-Sicherheitsfirma Lacoon Security Ltd., sagt, kann der Heartbleed-Bug in Android 4.1.1 mit einem Software-Update behoben werden. Weil die Software aber einerseits auf das Gerät jedes Herstellers, andererseits aber auch nochmals von den vertreibenden Mobilfunkanbietern angepasst werden müsse, könne dies viel Zeit kosten.

Abwarten, hoffen, handeln

Bis entsprechende Patches für die betroffenen Android-Geräte erhältlich sind, bleibt deren Nutzern nur abzuwarten und zu hoffen, dass sie nicht Opfer einer Heartbleed-Attacke werden. Die Gefahr eines Angriffs soll aber laut Marc Rodgers gering sein. Der Sicherheitsexperte der Firma Lookout Inc., einem auf Sicherheit im Umgang mit Mobilgeräten spezialisierten Unternehmen, führt zwei Gründe dafür an: Einerseits seien Angriffe auf Server vielversprechender für Hacker, da mit einer Attacke viele Ziele gleichzeitig ins Visier genommen werden könnten.

Zweitens müssten Angriffe auf einzelne Geräte separat durchgeführt werden und seien in der Vorbereitung kompliziert. So lange sich Server als ergiebigere Ziele darstellen, besteht für Rodgers keine wirkliche Gefahr eines Angriffs für Nutzer von Smartphones mit Android 4.1.1.

Auch für Stefan Friedli, Sicherheitsberater bei der IT-Firma SCIP aus Zürich, liegt die Problematik im Android-Segment grundsätzlich darin, «dass Updates nicht zeitnah auf allen Geräten verfügbar sind». Gravierender findet er aber, dass eine erstaunlich grosse Anzahl von Benutzern gar keine Updates installiere, zumindest nicht sofort. Auch für Friedli ist das Problem der Anfälligkeit von Android-4.1.1-Geräten überschaubar, da «ein Angriff nur in einem unsicheren Netz oder mithilfe von Benutzerinteraktion stattfinden kann».

Auch Android 4.1.2 und 4.2.2 betroffen

Lookout hat 102'000 vom firmeneigenen Heartbleed Detector erhobene Datensätze analysiert (siehe Infobox). Die Auswertung hat ergeben, dass auch die Android-Versionen 4.1.2 und 4.2.2 von der OpenSSL-Lücke betroffen sind, da beispielsweise 5,48 Prozent aller ausgewerteten Smartphones und Tablets mit Android 4.2.2 auf eine veraltete Version von OpenSSL setzen würden. Im Vergleich zu Android 4.1.1 ist die Zahl der tatsächlich gefährdeten Geräte aber gering.

Heartbleed-Sicherheit-Scanner:

Die IT-Sicherheitsfirma Lookout Mobile Security hat eine App veröffentlicht, mit deren Hilfe man die Anfälligkeit seines Android-Gerätes für die Heartbleed-Lücke testen kann. Die Gratis-Anwendung ist auf Google Play erhältlich.

Deine Meinung

Fehler gefunden?Jetzt melden.