Sicherheitsforscher: Heartbleed-Bug steckt auch in Android 4.1

Android 4.1 ist offenbar auch anfällig für die Heartbleed-Lücke. Das hat der Sicherheitsforscher Jake Williams, Berater bei CSR Group Computer Security Consultants, auf einer Veranstaltung des SANS Institute in Australien erklärt. In diesem Zusammenhang kritisierte er die fehlende Bereitschaft von Handyherstellern, Sicherheitspatches für ihre Geräte bereitzustellen.

OpenSSL-Bug Heartbleed

Unklarheit besteht allerdings noch darüber, welche Versionen von Android 4.1 betroffen sind. Es wird angenommen, dass 4.1.0 und 4.1.1 anfällig sind, während einigen Berichten zufolge der Fehler nur in Android 4.1.1 stecken soll. Williams zufolge läuft die Version 4.1.x noch auf mehr als einem Drittel aller funktionsfähigen Android-Geräte.

„Wenn Sie eine derartig frühe Version von Android einsetzen, sind Sie leider wahrscheinlich betroffen“, sagte Williams. Die Verfügbarkeit von Patches sei jedoch „geringer als erwünscht“. Linux hingegen, das die Grundlage für Android bildet, wird von Forschern für die schnelle Veröffentlichung eines Updates für OpenSSL gelobt.

James Lyne, leitender Sicherheitsforscher bei Sophos, sieht die Verantwortung vor allem bei den Mobilfunkprovider. „In vielen Fällen sind es die Anbieter, nicht die der Hardware, sondern die Telefongesellschaften, die nicht verantwortungsbewusst handeln.“

Mit dem Heardbleed Detector von Lookout können Android-Anwender überprüfen, ob ihr Gerät vom Heartbleed-Bug betroffen sind (Screenshot: ZDNet.de).Mit dem Heartbleed Detector von Lookout können Android-Anwender überprüfen, ob ihr Gerät vom Heartbleed-Bug betroffen sind (Screenshot: ZDNet.de).

Auf der Veranstaltung des SANS Institute verschärften einige Redner zudem ihre Kritik an der Informationspolitik vieler Firmen. Vor allem Banken informierten ihre Kunden nicht darüber, ob sie auch von Heartbleed betroffen seien. Einige Organisationen hätten zwar Pressemitteilungen herausgegeben, sie enthielten aber nicht die notwendigen Informationen. Eine Bank habe beispielsweise behauptet, sie hätte bereits Maßnahmen gegen einen Datendiebstahl ergriffen und auch einen Patch installiert, sagte Williams. Das von der Bank benutzte SSL-Zertifikat sei jedoch am 4. Dezember 2012 erstellt worden und damit unsicher.

„Wenn sie tatsächlich betroffen waren und einen Patch einspielen mussten, dann erschreckt es mich zu Tode, dass sie nach dem Patch das Zertifikat nicht neu ausgestellt haben“, sagte Williams. Die Bank sei aber nur ein Beispiel für die „Mittelmäßigkeit“ vieler Organisationen, „was jeden hier im Saal erschrecken sollte.“

Apple hat indes gegenüber Recode bestätigt, dass sein Mobilbetriebssystem iOS nicht von dem Heartbleed-Bug betroffen ist. „iOS und OS X enthielten niemals die anfällige Software, und auch wichtige webbasierte Dienste waren nicht betroffen“, sagte ein Apple-Sprecher dem Blog.

Nutzer von betroffenen Websites sollten die Zugangsdaten ändern. Eine erneute Passwortänderung sollte durchgeführt werden, wenn der betreffende Betreiber des Servers den Patch für die Lücke in OpenSSL und ein neues Zertifikat eingespielt hat.

[mit Material von Stilgherrian, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Neueste Kommentare 

10 Kommentare zu Sicherheitsforscher: Heartbleed-Bug steckt auch in Android 4.1

Kommentar hinzufügen
  • Am 11. April 2014 um 13:43 von Hafenluemmel

    Habe 4.1.1 – und war erst einmal geschockt. „Heartbleed Detector“ (Play Store) sagt jedoch, 1.0.1c stecke zwar drin, sei aber nicht aktiv, weshalb doch alles gut sei. Hoffentlich.

  • Am 11. April 2014 um 14:17 von "derart frühe Version"?

    „Derart frühe Version“? Wahrscheinlich ist ihm entgangen, wie wenige auf der aktuellen 4.4er sind. ;-)

    Version 4.1.1 ist auf mehr als einem Drittel der Androiden installiert, d.h. ein Drittel der Geräte wird wohl nie aktualisiert werden – und ist daher nur mit Risiko weiter nutzbar.

    Ich sehe da eindeutig die Hersteller in der Pflicht, für Hotfixes zu sorgen.

    Wenn Hyundai ein Problem an der Bremse hat, sind die ja verantwortlich, und nicht der Händler oder der TÜV.

    • Am 11. April 2014 um 14:51 von foxrw

      ja, nur dass sich bei handys die händler erdreisten, darüber die entscheidungsgewalt auszuüben. am eigenen leib erfahren, galaxy note 1 – update auf 4.1.2 durch samsung im februar, von vodafone (da branding) erst irgendwann im herbst nach viel gerede. hier sollte die updategewalt definitiv bei den herstellern bleiben, dann sind die vielleicht bereit, mehr anzubieten, da weniger fragmentierung…
      foxrw

      • Am 11. April 2014 um 17:18 von Peter

        Das letzte Wort sollte definitiv der Besitzer des Handys/Smartphones haben. Er kann entscheiden, welche Version er aufspielen will.

        Das entbindet aber nicht den Hersteller davon, überhaupt Hotfixes anzubieten. Und da beisst die Maus den Fadrn ab: nach 18 Monaten ist bei den meisten Androiden Schluss.

        Diesmal betrifft es nur die 4.1.1er, aber die zwei letzten großen Bugs betrafen 75% bzw. Hundert Prozent (=jedes!) der Geräte – und es gab und gibt noch immer kein Hotfix.

        Wenn Google da nicht nachbessert, implodiert das System Android erheblich schneller als Symbian, das an ähnlichen Problemen krankte.

  • Am 11. April 2014 um 17:44 von Judas Ischias

    Noch besser, jeder Hersteller bringt seine Geräte „blank“ wie ein Nexus auf den Markt. Diese werden von Google versorgt.
    Wer möchte, kann sich ja sein Sense oder Touchwiz von der entsprechenden Herstellerseite runterladen.
    Dann wäre Google nur für die „nackten“ Updates verantwortlich und die Hersteller für ihre Updates.
    Und ganz gut wäre es, wenn man beide Sachen separat auf den Geräten führen könnte, so dass man nicht wie jetzt, die Beschwerden von Google hören muss, dass Hersteller ihre Updates nicht schnell angleichen.
    Vorteil wäre auch noch für den Kunden, Beschwerden über zu lange Updates könnte man dem Hersteller direkt auf’s Auge drücken. mit der Drohung, nächstes Gerät wird ein XY sein. Das glaube ich, wäre die einzige Lösung um diesem ganzen Update-Desaster zu entkommen. Und es wäre eine Lösung zum Nutzen des Kunden!
    Und all das soll technisch nicht möglich sein, oder hat noch kein Hersteller daran gedacht?:O

    • Am 12. April 2014 um 0:00 von Tim

      Man merkt, Deine Kenntnisse von OS und Programmierung allgemein sind arg limitiert.

      Zudem würden die Android Hersteller den Teufel tun, und ihren Kunden eine Wahl lassen – grützen sie doch absichtlich Bloatware drauf, obwohl sie nicht müssten.

      Beim Samsung S4 bleiben von 16 GB nur etwas mehr als 8 GB übrig, und Android braucht nur etwa 3,5 GB. Der Rest ist Samsung Käse, den niemand braucht.

      • Am 12. April 2014 um 9:45 von punisher

        Dann kauf dir doch was anderes, ganz einfach. Aber nur weil du es nicht brauchst, ist es lange nicht Käse ;)

  • Am 12. April 2014 um 9:38 von Judas Ischias

    Stimmt. Meine Kenntnisse in zumindest in Programmierung sind arg limitiert. Habe auch nicht behauptet, dass ich diese besitze.
    Es wäre doch trotzdem eine tolle Sache für den Kunden, wenn er z.B. an Touchwiz Interesse hat, dass er dieses von der Samsung-Seite auf sein Gerät packt. Dann packt der Kunde sich aber auch ganz bewusst den ganzen anderen Kram drauf! Und wer an reinem Android interessiert ist, kauft sich eben ein „nacktes“ Samsung.(Wenn man schon kein Nexus will, da auf Marke fixiert).
    Und wie schon geschrieben, wären dann nur die Hersteller in der Verantwortung, ihren eigenen Kram immer zu aktualisieren.
    Da man auch 2 verschiedene Betriebssysteme auf ein Gerät packen kann, ohne dass die sich in’s Gehege kommen, halte ich auch die Lösung mit den separat geführten Systemen, wie im ersten Kommentar beschrieben, für möglich.

    • Am 12. April 2014 um 10:12 von Möglich schon ...

      … aber von den Herstellern explizit nicht gewünscht. Sie hätten kein Alleinstellungsmerkmal mehr, und das soll diese spezifische Oberfläche ja eigentlich sein. Und Bloatware wird drauf gepackt, um ein paar Euro der Entwicklungskosten wieder einzuspielen.

  • Am 12. April 2014 um 18:42 von Judas Ischias

    Wenn man dies nicht ausprobiert, wird man es nie erfahren!
    Ein großes Display, jetzt nicht nur bei Apple, sondern generell, war vom Kunden auch nicht gewünscht. Bis Samsung das Gegenteil bewiesen hat. Und auch ein Handy oder Tablet mit 2 Betriebssystemen, wie auch hier zu lesen war, würden gerne viele Leute haben.
    Und die Hersteller könnten sich auch z. B. durch eine schöne Optik oder die Möglichkeit ein Handy zum Tauchen mitzunehmen abgrenzen. Muss ja nicht alles auf z.B. Touchwiz oder Sense, um mal die 2 zu nennen, begrenzt sein.
    Es fehlt meiner Meinung eher nicht an der möglichen Technik, sondern eher am Mut der Hersteller!
    Weil es sich z.B. keiner mit MS,weil aktuell genau dies passiert ist, bzw. mit Google verderben. Leider.:(

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *