Mobile Apps durch "Heartbleed"-Bug verwundbar


    Tags: , ,

    Derzeit ist die Heartbleed-Schwachstelle der OpenSSL-Software "das" Thema im Bereich Security. Doch wie viele Web-Sites sind nun wirklich verwundbar? Die IT-Security-Firma Trend Micro hat die Top Level Domains (TLDs) auf ihre Anfälligkeit durch den Bug hin analysiert. Dabei filterte das Unternehmen diejenigen Web-Sites heraus, die SSL-Verbindungen (Secure Sockets Layer) verwenden und untersuchte diese. Dies ist ein entscheidendes Kriterium, denn nur ein Bruchteil der TLD nutzt OpenSSL beziehungsweise SSL. In Deutschland sind es beispielsweise von fast 34.300 Sites nur circa 6.300.

    Trend Micro - Top Level Domains und HeartbleedDas Ergebnis laut einem Beitrag im Security Intelligence Blog des Unternehmens: Etwa 5 Prozent aller Top Level Domains sind betroffen, weisen also den OpenSSL-Bug auf. Interessanterweise waren auch 38 Prozent der .gov-Web-Sites betroffen, also Internet-Auftritte von Behörden. Von den rund 6.300 Web-Sites in Deutschland mit SSL-Verbindungen waren 1544 von der Schwachstelle betroffen.

    In auffällig geringem Maße wiesen Sites in Frankreich und Indien den Bug auf. Dies könnte laut Trend Micro darauf zurückzuführen sein, dass die Betreiber der Web-Seiten dort ältere OpenSSL-Versionen einsetzen und nicht auf die problematischen Versionen 1.01 (bis Ausgabe f) und 1.02 Beta umgestellt haben.

    Mobile Anwendungen betroffen

    Nach Angaben von Trend Micro sind auch mobile Apps von Heartbleed betroffen. Das Unternehmen scannte 390.000 Android-Apps im Google Play Store. Rund 1.300 von ihnen bauten Verbindungen zu verwundbaren Servern auf. Bei etlichen von ihnen handelte es sich um Anwendungen, die für Finanztransaktionen, Online-Shopping oder Messaging verwendet werden. Dies sind Anwendungen und über die somit durchaus sensible Informationen übermittelt werden.

    Dass Daten an einen unsicheren Web-Server übermittelt werden, ist oft erst auf den zweiten Blick erkennbar. Das ist bei In-App-Einkäufen der Fall. Aber auch dann, wenn die App diese Option nicht anbietet, kann eine App über einen eigenen In-App-Browser eine Verbindung zu einem Server aufbauen, der unsichere OpenSSL-Versionen verwendet.

    Was tun?

    Lookout - Heartbleed Detector für AndroidDie Sicherheitsfachleute von Trend Micro raten End-Usern dazu, vorläufig auf In-App-Einkäufe zu verzichten und Finanztransaktionen via Internet einzuschränken. Man müsse abwarten, bis die entsprechenden Server gepatcht worden seien, so die Experten.

    Für Smartphones unter Android bieten Sicherheitsfirmen mittlerweile Mobile-Security-Apps an, etwa Lookout (Link zur App im Google Play Store), Bluebox (Heartbleed Scanner) und KS Mobile (CMSecurity Heartbleed Detector). Sie prüfen das Betriebssystem des Mobilgeräts und Server daraufhin, ob die ominösen OpenSSL-Versionen eingesetzt werden. Wenn ja, erfolgt eine Warnung.

    Nach Angaben von Lookout wurden allerdings bis jetzt keine Angriffe auf Android-Mobilgeräte registriert, die sich den Heartbleed-Bug zunutze machten.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Bernd Reder

    Bernd Reder ist seit über 20 Jahren als Journalist zu den Themen IT, Netzwerke und Telekommunika­tion tätig. Zu seinen beruflichen Sta­tionen zählen unter anderem die Fachtitel "Elektronik" und "Gateway".Bei der Zeitschrift "Network World" war Reder als stellver­tretender Chefredakteur tätig. Von 2006 bis 2010 baute er die Online-Ausgabe "Network Computing" auf.Derzeit ist Bernd Reder als freier Autor für diverse Print- und Online-Medien sowie für Firmen und PR-Agenturen aktiv.
    // Kontakt: E-Mail, XING //

    Ähnliche Beiträge

    Weitere Links