Heartbleed-Fehler: Die OpenSSL-Sicherheitslücke betrifft fünf Prozent aller Android-Geräte

Der Heartbleed-Fehler betrifft rund fünf Prozent aller Android-Geräte. Die Schwachstelle in der Kryptographie-Bibliothek OpenSSL können Angreifer damit auch zum Ausspähen des verschlüsselten Datenverkehrs von Smartphones und Tablets ausnutzen. Google hat offiziell bekannt gegeben, dass nur die Android-Version 4.1.1 Jelly Bean gefährdet ist, nach Analyse der Sicherheitsexperten von Lookout gibt es aber einige wenige Ausnahmen.

Heartbleed-Überprüfung von Lookout

Lookout bietet den Heartbleed Detector zur Überprüfung von Android-Geräten auf eine Gefährdung durch die Schwachstelle an. Der Hersteller hat inzwischen eine erste Analyse der statistischen Daten herausgegeben, die folgendes ergibt:

• Der Heartbleed-Fehler betrifft nur rund fünf Prozent der getesteten Geräte.
• In Deutschland zeigt der Check, dass die Sicherheitslücke bei 8,5 Prozent der Testkandidaten vorhanden ist.

Auch Android 4.1.2 und 4.2.2 Jelly Bean sind anfällig

Entgegen der Aussage von Google kam Lookout zu dem Schluss, dass auch weitere Jelly Bean-Versionen betroffen sind. Google hat die Sicherheitslücke im mobilen Betriebssystem zwar im Jahr 2012 geschlossen. Die Auswertungen zeigen aber, dass knappe 5,5 Prozent der ausgewerteten Geräte mit Android 4.2.2 Jelly Bean auch auf den Test ansprechen und die Lücke aufweisen. Die Ursache liegt in den sogenannten Custom-ROMs: Einige angepasste Varianten von Android haben auch nach der Version 4.1.2 noch auf eine fehlerhafte OpenSSL-Version gesetzt. Das weit verbreitete Custom-ROM CyanogenMod war aber nur mit Versionen vor CM 10 betroffen.

Was können Anwender tun?

Zur Sicherheit empfiehlt sich der Test mit dem Heartbleed Detector. Wir geben eine detaillierte Anleitung, wie die Überprüfung funktioniert. Nutzer einer anfälligen Android-Version müssen auf eine Aktualisierung des Betriebssystems warten. Google hat die fehlerfreien Versionen schon zur Verfügung gestellt, die Auslieferung durch die Anbieter lässt aber auf sich warten. Bis ein Update erhältlich ist, sollten sicherheitskritische Dienste und Seiten nicht mit dem anfälligen Gerät genutzt werden. Die wenigen Nutzer eines Custom-ROM können dieses in den meisten Fällen selbst auf eine neuere und fehlerfreie Version aktualisieren.

Downloads

• Heartbleed Detector für Android herunterladen

Passende Artikel

• Heartbleed: Android-Handys auf die Sicherheitslücke testen
• Heartbleed-Fehler: Informationen zur OpenSSL-Sicherheitslücke und Listen der betroffenen Seiten
• OpenSSL-Sicherheitslücke: Sicherheitsexperten antworten auf häufige Fragen zum Heartbleed-Fehler
• Drei Millionen deutsche E-Mail-Adressen gehackt: Informationen und Sicherheitstest des BSI für Betroffene

Quelle: Google Online Security Blog | Lookout