Heartbleed-Code steckt auch in Custom ROMs von Android höher als 4.1.2

Eine für die Heartbleed-Lücke anfällige Version von OpenSSL steckt auch in manchen Custom-ROM-Versionen von Android 4.1.2 und höher. Darauf hat Lookout Security hingewiesen, das ein Tool namens „Heartbleed Sicherheit Scanner“ anbietet und darüber Daten erhebt. Google zufolge ist nur Android 4.1.1 betroffen, da in höheren Versionen der fragliche Code nicht aktiv ist.

Heartbleed Detector auf Sony Xperia Pro mit CM 10.2 (Screenshot: ZDNet)

ZDNet konnte das Problem mit CyanogenMod (Android 4.1.2) und OmniROM (4.4.2) reproduzieren. In beiden Fällen informierte das Lookout-Tool, es sei anfälliger Code vorhanden, aber auch, die anfällige Komponente (nämlich die Funktion Heartbeat) sei nicht freigeschaltet.

Lookout kommentiert in seiner Pressemeldung die Anfälligkeit von Android 4.1.2 und höher wie folgt: „Nachforschungen ergaben, dass es sich um so genannte Custom ROMs handelt, die nur laienhaft und ohne Augenmerk auf den Sicherheitsaspekt entwickelt wurden.“ Das scheint polemisch und übertrieben: CyanogenMod hat etwa schon am 12. April informiert, dass in CM 10.1, CM 10.2 und CM 11 Heartbeats deaktiviert wurde und daher keine Gefahr besteht.

95,18 Prozent aller getesteten Android-Smartphones und -Tablets sind laut Lookout nicht von Heartbleed betroffen. Die Teilnahme an der Erhebung ist für Nutzer des Erkennungstools freiwillig. Binnen fünf Tagen wurde die Anwendung über 363.000-mal heruntergeladen. Lookout konnte rund 102.000 Datensätze auswerten.

Die Hälfte aller infizierten Geräte stammt laut der Meldung von HTC. Dabei liegt das nicht in Europa erhältliche HTC Evo 4G auf dem ersten Platz, gefolgt vom HTC One X sowie dem HTC One S.

Android ist als vermutlich einziges bekanntes Heimanwender-Betriebssystem von der Heartbleed-Lücke betroffen. OpenSSL kommt hauptsächlich auf Servern zum Einsatz – weshalb aber auch Heimanwender ihre Passwörter ändern sollten, sobald etwa ihr E-Mail-Provider seine Software aktualisiert und sein Zertifikat neu generiert hat. ZDNet hat dazu die wichtigsten deutschen Anbieter unterstucht. Diese haben inzwischen ihre Server hinsichtlich des Heartbleed-Bugs vollständig abgesichert.

Der E-Mail-Anbieter mailbox.org weist aber noch auf ein zusätzliches Problem hin: Die Provider müssen ihre alten, möglicherweise kompromittierten Zertifikate zurückziehen. Sonst besteht die Gefahr, dass sich Dritte damit als ein Maildienst ausgeben, der sie nicht sind, also einen sogenannten Man-in-the-Middle-Angriff ausführen. „Viele andere Anbieter“ hätten dies aber nicht getan, schreibt mailbox.org.

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

8 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

12 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

13 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

13 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

13 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

15 Stunden ago