Heartbleed-Code steckt auch in Custom ROMs von Android höher als 4.1.2

Eine für die Heartbleed-Lücke anfällige Version von OpenSSL steckt auch in manchen Custom-ROM-Versionen von Android 4.1.2 und höher. Darauf hat Lookout Security hingewiesen, das ein Tool namens „Heartbleed Sicherheit Scanner“ anbietet und darüber Daten erhebt. Google zufolge ist nur Android 4.1.1 betroffen, da in höheren Versionen der fragliche Code nicht aktiv ist.

ZDNet konnte das Problem mit CyanogenMod (Android 4.1.2) und OmniROM (4.4.2) reproduzieren. In beiden Fällen informierte das Lookout-Tool, es sei anfälliger Code vorhanden, aber auch, die anfällige Komponente (nämlich die Funktion Heartbeat) sei nicht freigeschaltet.

Lookout kommentiert in seiner Pressemeldung die Anfälligkeit von Android 4.1.2 und höher wie folgt: „Nachforschungen ergaben, dass es sich um so genannte Custom ROMs handelt, die nur laienhaft und ohne Augenmerk auf den Sicherheitsaspekt entwickelt wurden.“ Das scheint polemisch und übertrieben: CyanogenMod hat etwa schon am 12. April informiert, dass in CM 10.1, CM 10.2 und CM 11 Heartbeats deaktiviert wurde und daher keine Gefahr besteht.

95,18 Prozent aller getesteten Android-Smartphones und -Tablets sind laut Lookout nicht von Heartbleed betroffen. Die Teilnahme an der Erhebung ist für Nutzer des Erkennungstools freiwillig. Binnen fünf Tagen wurde die Anwendung über 363.000-mal heruntergeladen. Lookout konnte rund 102.000 Datensätze auswerten.

Die Hälfte aller infizierten Geräte stammt laut der Meldung von HTC. Dabei liegt das nicht in Europa erhältliche HTC Evo 4G auf dem ersten Platz, gefolgt vom HTC One X sowie dem HTC One S.

Android ist als vermutlich einziges bekanntes Heimanwender-Betriebssystem von der Heartbleed-Lücke betroffen. OpenSSL kommt hauptsächlich auf Servern zum Einsatz – weshalb aber auch Heimanwender ihre Passwörter ändern sollten, sobald etwa ihr E-Mail-Provider seine Software aktualisiert und sein Zertifikat neu generiert hat. ZDNet hat dazu die wichtigsten deutschen Anbieter unterstucht. Diese haben inzwischen ihre Server hinsichtlich des Heartbleed-Bugs vollständig abgesichert.

Der E-Mail-Anbieter mailbox.org weist aber noch auf ein zusätzliches Problem hin: Die Provider müssen ihre alten, möglicherweise kompromittierten Zertifikate zurückziehen. Sonst besteht die Gefahr, dass sich Dritte damit als ein Maildienst ausgeben, der sie nicht sind, also einen sogenannten Man-in-the-Middle-Angriff ausführen. „Viele andere Anbieter“ hätten dies aber nicht getan, schreibt mailbox.org.

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de