Hunderte Apps noch immer angreifbar
Nicht geschlossene Sicherheitslücke "Freak" gefährdet Datenschutz auf Android und iOS
1228 der beliebtesten Android-Apps betroffen
FireEye hat mehrere hundert Apps für iOS und Android identifiziert, die nicht ausreichend vor "Freak"-Angriffen geschützt sind. Ein solcher erlaubt Angreifern, HTTPS-Verbindungen zwischen angreifbaren Clients und Servern abzufangen und sie zur Nutzung einer schwächeren Verschlüsselung zu zwingen. Anschließend können sie mit geringerem Aufwand sensible Daten aus diesen Verbindungen stehlen oder manipulieren.
Wochen nach Bekanntwerden von "Freak" sind die aktuellen Versionen der Plattformen Android und iOS noch immer für Angriffe über diese Sicherheitslücke anfällig. "Freak" ist nicht nur eine Sicherheitslücke bei Betriebssystemen, sondern auch von Apps, die eine angreifbare Version von OpenSSL verwenden. Auch nach den aktuellen Sicherheitsupdates für Android und iOS sind diese Apps nach wie vor angreifbar.
FireEye hat 10.985 beliebte Android-Apps aus Google Play untersucht. 1228 (11,2 Prozent) waren durch "Freak"-Angriffe verwundbar. Insgesamt wurden die als angreifbar identifizierten Apps bei Google Play mehr als sechs Milliarden Mal heruntergeladen.
Zudem untersuchte FireEye 14.079 beliebte iOS-Apps. 771 (5,5 Prozent) von ihnen waren ebenfalls anfälliges Ziel für "Freak"-Angriffe auf iOS-Versionen, die älter als Version 8.2 sind. Auf iOS 8.2 wiesen noch immer sieben Apps, die eine eigene OpenSSL-Version nutzen, Verwundbarkeit für "Freak"-Angriffe auf.
Das Schaubild zeigt die Zahl der angreifbaren Android- und iOS-Apps in sicherheits- und datenschutzrelevanten Kategorien. Die roten Bereiche stehen für Apps, deren "Freak"-Sicherheitslücke bereits geschlossen wurde:
Was "Freak" für Smartphone-Nutzer bedeutet
Durch die Sicherheitslücke "Freak" ist es Cyberkriminellen beispielsweise möglich, beliebte Shopping-Apps anzugreifen und die Login- oder Kreditkartendaten von Nutzern zu stehlen. Auch in anderen Apps werden häufig Daten gespeichert, die persönliche Informationen preisgeben. Smartphones stellen daher ein wertvolles Ziel für Angreifer dar. Dennoch wird die Sicherheit von mobilen Endgeräten von vielen Nutzern noch immer nachlässig behandelt. "Freak" bedeutet ein hohes Risiko für Sicherheit und Datenschutz bei Apps, dem Entwickler und Administratoren mit entsprechenden Maßnahmen entgegenwirken müssen. (FireEye: ra)
FireEye: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.
Achtung: Sicherheitslücke in OpenSSL
"Heartbleed", der Programmierfehler in OpenSSL, betrifft geschätzt zwei Drittel aller Webseiten. OpenSSL schützt die Kommunikation zwischen Nutzern und Servern. Dieser Fehler macht es Hackern möglich, sensible Daten zu extrahieren, beispielsweise Nutzernamen, Passwörter und andere wichtige Informationen. Hier erfahren Sie alles über "Heartbleed" und wie Sie sich schützen können.
15.04.14 - Sicherheitslücke in OpenSSL: Versions-Upgrade und Einsatz von Forward Secrecy dringend empfohlen
15.04.14 - Die Sicherheitslücke HeartBleed lässt sich auf einfache Weise ausnützen, und es gibt bereits zahlreiche Proof-of-Concept-Tools
15.04.14 - Keine Heartbleed-Schwachstelle bei ZyXEL-UTM-Firewall-Appliances
15.04.14 - Hintergrundinformationen: Erste Zahlen zu Heartbleed bei Android
15.04.14 - McAfee zu Heartbleed: Ändern Sie Ihr Passwort nicht. Testen Sie erst !
15.04.14 - Informationen zur Heartbleed-Sicherheitslücke: Rund 1.300 Apps in Google Play betroffen
15.04.14 - "Heartbleed": In sieben Schritten Sicherheitslücke schließen
15.04.14 - Geräte von Lancom Systems nicht von "Heartbleed" betroffen
15.04.14 - Heartbleed Bug: bintec elmeg Produkte ohne Sicherheitslücke
15.04.14 - F5 mildert Auswirkungen des Heartbleed-Bug: Es besteht meist geringer oder kein Handlungsbedarf für Kunden