Heartbleed: Android 4.1.1 und Apps mit OpenSSL angreifbar

17.04.2014

Originalartikel von Veo Zhang, Mobile Threats Analyst

In einem kürzlich veröffentlichten Blogeintrag hatte Trend Micro bereits dargelegt, dass auch mobile Apps von der Heartbleed-Sicherheitslücke betroffen sind, weil sie Verbindung zu angreifbaren Servern aufnehmen könnten. Nun hat sich herausgestellt, dass auch Apps selbst verwundbar sind, wenn sie eine OpenSSL-Bibliothek im Bundle beinhalten.

OpenSSL-Bibliothek in Android 4.1.1 und in bestimmten mobilen Apps vorhanden

Obwohl OpenSSL ins Android-System integriert ist, betrifft der Bug lediglich Android 4.1.1. In Geräten mit dieser Version kann jede App, die OpenSSL dazu nutzt, um SSL/TLS-Verbindungen aufzubauen, möglicherweise kompromittiert und die Nutzerinformationen aus dem Hauptspeicher gestohlen werden.

Aber auch wenn das Gerät nicht die Version 4.1.1 nutzt, können die Apps selbst problematisch sein. Die Sicherheitsforscher haben in Google Play 273 Apps gefunden, die mit der fehlerhaften Standalone-OpenSSL-Bibliothek gebündelt sind, und das bedeutet, dass diese Apps auf jedem Gerät anfällig sind.

Dazu gehören die beliebtesten Spiele des letzten Jahres, VPN-Clients, eine Sicherheits-App, ein beliebter Video Player, eine Instant Message-App, ein VoIP-Telefon und viele andere mehr. Die Sicherheitslücke ist auch in älteren Versionen von Googles Apps vorhanden.

Bild 1. Zu den durch Heartbleed angreifbaren Apps gehören auch die beliebtesten Anwendungen

Diese Apps haben eine statische Verbindung zu der verwundbaren OpenSSL-Bibliothek:

Bild 2. Angreifbare OpenSSL-Bibliothek

Ein Reverse Heartbleed-Angriff auf dem Client ist dann möglich, wenn die entfernten Server, mit denen sich diese Apps verbinden, kompromittiert sind. Infolge eines solchen Angriffs kann natürlich auch der Hauptspeicher des Geräts für den Cyberkriminellen zugänglich werden. Der Hauptspeicher enthält möglicherweise alle, in den Apps lokal gespeicherten sensiblen Informationen. Verwendet ein Nutzer einen angreifbaren VPN-Client oder eine VoIP-App, um sich mit einem bösartigen Service zu verbinden, so könnte er seinen privaten Schlüssel oder andere Anmeldeinformationen verlieren. Der Hacker kann dann dessen Identität annehmen und beliebige Aktionen ausführen.

Deshalb sollte der App-Entwickler möglichst schnell die OpenSSL-Bibliothek upgraden und diese den Endbenutzern zur Verfügung stellen. Im Allgemeinen ist es wichtig, im Hinterkopf zu behalten, dass über den Client Informationen nach draußen gelangen können, unabhängig davon, wie sicher der Remote-Server oder wie gut der Ruf des App-Entwicklers ist. Natürlich müssen die eigenen Apps sofort mit dem Update versehen werden, sobald dies zur Verfügung steht.

Google verteilt gerade Patching-Informationen für die betroffene Android-Version. Auch Trend Micro erstellt ein Tool, mit dem Nutzer prüfen können, ob ihre Apps verwundbar sind.

Update zu Apps, die sich mit angreifbaren Servern verbinden

Das Monitoring von mobilen Apps, die sich mit angreifbaren Servern verbinden, hat gezeigt, dass bis zu 7.000 Apps die Verbindung mit durch Heartbleed angreifbaren Servern aufgenommen haben. Um die 6.000 Apps sind immer noch betroffen. Die folgenden Arten von Apps gehören dazu:

Bild 3. Kategorien mobiler Apps, die über Heartbleed angreifbar sind

Die Übersicht umfasst nur diejenigen App-Kategorien, die die Sicherheitsforscher für kritisch halten, weil sie private Nutzerinformationen auf dem Server beinhalten. Es zeigt sich, dass ein Großteil dieser Art von Apps zu der Kategorie Lifestyle gehört – von solchen zur Bestellung von Essen, Lebensmitteln, Ausrüstung, Büchern, Kleidung bis zu Couponing und anderem. Bei diesen Bestellungen können Informationen wie Anmeldedaten und Adresse, oder schlimmer noch Kreditkarteninformationen gestohlen werden.