Studie: Millionen Android-App-Downloads weiterhin von Heartbleed-Fehler betroffen

Am 10. April waren es noch 220 Millionen, am 17. April 150 Millionen. Die Studie von FireEye berücksichtigt allerdings nur Apps aus Googles Play Store. Die meisten Heartbleed-Scanner für Android liefern offenbar keine zuverlässigen Ergebnisse.

Einer Studie von FireEye zufolge waren am 10. April noch weltweit rund 220 Millionen Apps auf Android-Geräten installiert, die eine für Heartbleed anfällige Version der OpenSSL-Bibliothek enthalten. Bis zum 17. April sank die Zahl auf 150 Millionen. Allerdings hat FireEye nur Apps aus Googles Play Store analysiert, die mehr als 100.000-Mal heruntergeladen wurden.

OpenSSL-Bug Heartbleed

Einige der Entwickler der 54.000 von FireEye untersuchten Apps hat das Sicherheitsunternehmen inzwischen informiert. Es machte allerdings keine Angaben zu den betroffenen Anwendungen.

„Glücklicherweise scheint es so, als nähmen die meisten Entwickler die Heartbleed-Lücke ernst, da wir erste Apps mit sauberen Fixes sehen“, schreiben die FireEye-Mitarbeiter Yulong Zhang, Hui Xue und Tao Wie in einem Blogeintrag. Obwohl mit Android 4.1.1 nur eine einzige Version von Googles Mobilbetriebssystem betroffen sei, gebe es doch zahlreiche anfällige Apps mit nativen SSL-Bibliotheken, die direkt oder indirekt auf OpenSSL basierten und persönliche Daten preisgeben könnten.

FireEye zufolge können zwar inzwischen einige Sicherheitstools die Heartbleed-Lücke auf Android-Geräten erkennen, aber nicht alle scannten auch die installierten Apps. Nur 6 von 17 untersuchten Tools enthielten diese Funktion. „Von den sechs melden zwei alle installierten Apps als ’sicher‘, inklusive denen, die wir als anfällig bestätigt haben“, heißt es weiter in dem Blogeintrag von FireEye. „Nur zwei führten eine gründliche Prüfung auf für Heartbleed anfällige Apps durch.“ Außerdem seien gefälschte Heartbleed-Scanner im Umlauf, die FireEye als Adware einstuft.

Die Entwickler des OpenBSD-Betriebssystems haben indes eine LibreSSL genannte Alternative für OpenSSL zur Verfügung gestellt. Dieser Fork der Verschlüsselungsbibliothek hat weniger Code, um sie schlanker und sicherer zu machen. Das erste OS, das LibreSSL verwenden wird, ist OpenBSD 5.6.

[mit Material von Thomas Brewster, TechWeekEurope]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Android, FireEye, Google, Secure-IT, Verschlüsselung

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Studie: Millionen Android-App-Downloads weiterhin von Heartbleed-Fehler betroffen

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *