Heartbleed-Code steckt auch in Custom ROMs von Android höher als 4.1.2

Google zufolge ist aber nur Android 4.1.1 betroffen, da in höheren Versionen der fragliche Code nicht aktiv ist. Insgesamt sind weniger als 5 Prozent der von Lookout getesteten Android-Smartphones betroffen. Die Hälfte davon kommt von HTC.

Eine für die Heartbleed-Lücke anfällige Version von OpenSSL steckt auch in manchen Custom-ROM-Versionen von Android 4.1.2 und höher. Darauf hat Lookout Security hingewiesen, das ein Tool namens „Heartbleed Sicherheit Scanner“ anbietet und darüber Daten erhebt. Google zufolge ist nur Android 4.1.1 betroffen, da in höheren Versionen der fragliche Code nicht aktiv ist.

Heartbleed Detector auf Sony Xperia Pro mit CM10 (Screenshot: ZDNet)Heartbleed Detector auf Sony Xperia Pro mit CM 10.2 (Screenshot: ZDNet)

ZDNet konnte das Problem mit CyanogenMod (Android 4.1.2) und OmniROM (4.4.2) reproduzieren. In beiden Fällen informierte das Lookout-Tool, es sei anfälliger Code vorhanden, aber auch, die anfällige Komponente (nämlich die Funktion Heartbeat) sei nicht freigeschaltet.

Lookout kommentiert in seiner Pressemeldung die Anfälligkeit von Android 4.1.2 und höher wie folgt: „Nachforschungen ergaben, dass es sich um so genannte Custom ROMs handelt, die nur laienhaft und ohne Augenmerk auf den Sicherheitsaspekt entwickelt wurden.“ Das scheint polemisch und übertrieben: CyanogenMod hat etwa schon am 12. April informiert, dass in CM 10.1, CM 10.2 und CM 11 Heartbeats deaktiviert wurde und daher keine Gefahr besteht.

95,18 Prozent aller getesteten Android-Smartphones und -Tablets sind laut Lookout nicht von Heartbleed betroffen. Die Teilnahme an der Erhebung ist für Nutzer des Erkennungstools freiwillig. Binnen fünf Tagen wurde die Anwendung über 363.000-mal heruntergeladen. Lookout konnte rund 102.000 Datensätze auswerten.

Die Hälfte aller infizierten Geräte stammt laut der Meldung von HTC. Dabei liegt das nicht in Europa erhältliche HTC Evo 4G auf dem ersten Platz, gefolgt vom HTC One X sowie dem HTC One S.

Android ist als vermutlich einziges bekanntes Heimanwender-Betriebssystem von der Heartbleed-Lücke betroffen. OpenSSL kommt hauptsächlich auf Servern zum Einsatz – weshalb aber auch Heimanwender ihre Passwörter ändern sollten, sobald etwa ihr E-Mail-Provider seine Software aktualisiert und sein Zertifikat neu generiert hat. ZDNet hat dazu die wichtigsten deutschen Anbieter unterstucht. Diese haben inzwischen ihre Server hinsichtlich des Heartbleed-Bugs vollständig abgesichert.

Der E-Mail-Anbieter mailbox.org weist aber noch auf ein zusätzliches Problem hin: Die Provider müssen ihre alten, möglicherweise kompromittierten Zertifikate zurückziehen. Sonst besteht die Gefahr, dass sich Dritte damit als ein Maildienst ausgeben, der sie nicht sind, also einen sogenannten Man-in-the-Middle-Angriff ausführen. „Viele andere Anbieter“ hätten dies aber nicht getan, schreibt mailbox.org.

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Themenseiten: Android, Cyanogenmod, Google, Lookout, Verschlüsselung

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Heartbleed-Code steckt auch in Custom ROMs von Android höher als 4.1.2

Kommentar hinzufügen
  • Am 16. April 2014 um 18:25 von Eine Lücke auf...

    …zwei neue Lücken offen. It’s Android, dude. ;-)

    Bevor Google das Sicherheitskonzept nicht grundsätzlich überarbeitet, werden weiterhin Riesen-Lücken im Monatstakt bekannt werden, die große Massen der Androiden betreffen – und nie geflickt werden.

    Am Ende ist kein einzuges Android Gerät auch nur annähernd ’sicher‘.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *