Start Apps Heartbleed Detector untersucht Android-Geräte auf Heartbleed-Schwachstelle in OpenSSL

Heartbleed Detector untersucht Android-Geräte auf Heartbleed-Schwachstelle in OpenSSL

Der Heartbleed-Bug hört sich nach einem riesigen Sicherheitsbug an, der praktisch das komplette Internet betrifft. Doch bis heute ist nicht bekannt, ob die Schwachstelle aktiv ausgenutzt wird. Ob Ihr Android auch von der Sicherheitslücke betroffen ist, testen Sie mit der Lookout-App Heartbleed Detector.

Vom Heartbleed-Bug dürfte inzwischen jeder Internetnutzer schon gehört haben. Die recht gravierende Sicherheitslücke erlaubt es, mit SSL verschlüsselten Datenverkehr auszulesen, um so zum Beispiel Login-Daten abzufischen. Dagegen hilft es auch nichts, jetzt schnell alle Passwörter zu ändern. Denn die großen Provider dürften zwar inzwischen alle ein Update auf Ihre Serversysteme eingespielt haben, aber erst wenn wirklich alle Server mit einem Patch ausgestattet sind, lohnt es sich, bei den Kreditkartendaten nachzuschauen, ob jemand damit bezahlt hat und die Passwörter zu ändern. Das kann bereits Ende der Woche sein, aber auch viel später. Natürlich sollten Sie auch testen, ob Ihr Handy oder Tablet vom Bug betroffen ist. Denn nur wenn beide Seiten einer Kommunikation sicher sind, ist auch die komplette Kommunikation sicher.

Android ist ebenfalls ein auf Linux basierendes System und setzt ebenfalls die OpenSSL-Bibliothek ein. Ob das eigene Handy vom Bug betroffen ist, zeigt der Heartbleed-Detector von Lookout. Es gibt auch noch weitere Heartbleed-Detectoren bei Google Play, und vermutlich werden in den kommenden Tagen noch weitere Apps auftauchen, die Lookout-App können wir aber empfehlen, weil Lookout eine bekannte Größe in der Android-Sicherheitsszene ist und weil die App lediglich den Internetzugang als Recht benötigt. Für den Test einfach die App starten und dann das Resultat ablesen. In unseren Tests mit Android-4.4 und Android-4.3-Geräten war das Resultat jeweils negativ. Die in Android 4.3 und 4.4 eingesetzte OpenSSL-Version 1.0.1e ist zwar potentiell durch den Bug gefährdet, er lässt sich aber auf Grund spezieller Android-Einstellungen nicht ausnutzen. Auch unsere Galaxy S3 mini mit Android 4.2 und OpenSSL 1.0.1c zeigte sich unverwundbar.

Laut diesem Thread bei Reddit ist lediglich die Version 4.1.1 von Android durch den Heartbeat-Bug verwundbar. Android 4.0.4 nutzte noch OpenSSL 1.0.0 (keine Lücke), ab Android 4.1.2 ist die Heartbeats-Funktion von OpenSSL in Android deaktiviert. Ein Test kann trotzdem nicht schaden, da nicht jeder Hersteller immer gleich alle Änderungen der neuesten Android-Version übernehmen. Wer noch 4.1.1 auf seinem Android-Gerät installiert hat, sollte sich aber nach einem Update oder einer alternativen, neueren Firmware (Custom-ROM) umschauen.

Was tun, wenn der Test positiv ausfällt?

Zunächst mal ganz cool bleiben. Dass das eigene Gerät verwundbar ist, bedeutet noch lange nicht, dass die Sicherheitslücke auch wirklich ausgenutzt wurde/wird. Dennoch empfiehlt es sich, in den nächsten paar Tagen auf Onlinebanking mit einem verwundbaren Gerät (und auch überhaupt, da das Leck auch auf Seite der Bank liegen kann) zu verzichten, sofern es keine anderen Sicherheitsmaßnahmen als die Verschlüsselung mit SSL gibt. Das Lookout-Tool prüft zudem nur das Android-System selbst. Es kann durchaus sein, dass eine App, die SSL benutzt, so implementiert ist, dass die Verwundbarkeit doch vorhanden ist. Generell sind deshalb aktuell sämtliche SSL-Verbindungen zunächst als unsicher zu betrachten. Und entsprechend sollte man sich auch als Android-Nutzer verhalten.

Der Heartbleed Detector von Lookout prüft, welche OpenSSL-Version auf Ihrem Android-Gerät installiert ist und ob diese verwundbar ist.
Der Heartbleed Detector von Lookout prüft, welche OpenSSL-Version auf Ihrem Android-Gerät installiert ist und ob diese verwundbar ist.

Wie kann ich mich (nicht) schützen?

Sie können sich nur durch vorsichtiges Verhalten selbst schützen. Da OpenSSL eine Systemkomponente ist, sind Sie für einen Patch auf ein Android-Update Ihres Herstellers angewiesen. Wer ein Custom-ROM benutzt, bzw. sein Handy gerootet hat, kann eventuell selbst Hand anlegen. Klicken Sie in keinem Fall auf irgendwelche Meldungen oder Anzeigen, die ein Update von OpenSSL oder Heartbleed empfehlen! Dabei handelt es sich ziemlich sicher um Spam bzw. Phishing-Seiten handeln. Installieren Sie nur Updates aus Google Play und nur Systemupdates, die vom Android-System bzw. vom Hersteller selbst stammen. Ob es ein Systemupdate für Ihr Android-Gerät gibt, erfahren Sie in den Android-Einstellungen unter "Über das Telefon/Info zu Gerät" | Systemupdates. Die Gefahr, die von potentieller Schadsoftware ausgeht, die auf der Heartbleed-Welle reitet, schätzen wir aktuell als gefährlicher ein, als den eigentlichen Bug selbst.

 

Heartbleed Detector herunterladen

Kommentiere den Artikel

Please enter your comment!
Please enter your name here