Android: 150 Millionen App-Downloads von „Heartbleed“ betroffen

0
9

Die OpenSSL-Schwachstelle Heartbleed „erlaubt es Angreifern, sich von einem entfernten Rechner aus sicherheitsrelevante Informationen von dem Arbeitsspeicher eines Servers zu verschaffen. Dies geschieht mittels speziell erstellter Datenpakete, die bewirken, dass Daten über den eigentlichen Inhalt des Puffers hinaus ausgelesen werden.“1 Angreifer können also sicherheitsrelevante Daten von betroffenen Websites stehlen, indem sie manipulierte SSL-Heartbeat-Botschaften senden. Da auch Server Heartbeat-Botschaften an Clients senden können, ist es darüber hinaus möglich, dass schädliche Server betroffene Clients angreifen. Genau das kann bei Android-Apps passieren: FireEye-Experten haben herausgefunden, dass rund 150 Millionen Downloads von Android-Apps OpenSSL-Bibliotheken enthalten, die über die Heartbleed-Schwachstelle angreifbar sind.

Logo FireEye

Momentan sind in Google Play 17 Antivirus-Apps verfügbar, die als „Heartbleed-Detektor“ beschrieben werden. Sechs davon scannen die OpenSSL-Bibliothek, die zur Android-Plattform gehört, nach Schwachstellen. Doch diese Methode ist unzureichend: Abgesehen von einigen eingeschränkten Versionen (vor allem 4.1.0 bis 4.1.1) sind die meisten Android-Plattformen von Heartbleed nicht betroffen: Entweder sie nutzen OpenSSL-Bibliotheken, die über diese Schwachstelle nicht angreifbar sind, oder bei ihnen ist die OpenSSL-Heartbeat-Funktion einfach deaktiviert.

Allerdings setzen Android-Apps häufig eigene Bibliotheken ein, die entweder direkt oder indirekt auf angreifbare OpenSSL-Bibliotheken zurückgreifen. Das heißt: Auch wenn die Android-Plattform selbst nicht angreifbar ist, können Cyberkriminelle den Umweg über betroffene Apps gehen. Sie können den Datenverkehr manipulieren, die App zu einem schädlichen Server umleiten und dann von diesem aus speziell erstellte Botschaften an die App senden, um sicherheitsrelevante Speicherinhalte zu stehlen.

FireEye hat Apps mit angreifbaren OpenSSL-Bibliotheken untersucht. Das Ergebnis: Die beschriebene Angriffsmethode funktioniert. Die meisten angreifbaren Apps sind Spiele, einige sind Office-Anwendungen. Die Spiele-Apps enthalten zwar nicht allzu viele wertvolle Informationen, allerdings können Angreifer OAuth-Tokens stehlen (Zugangs- und Refresh-Tokens), um die Spiele-Accounts zu kapern. Diese Information könnten Angreifer auch dazu nutzen, um Accounts in sozialen Netzwerken, die mit dem Spiel verbunden sind, mit falschen Einstellungen zu manipulieren.

Von den angreifbaren Office-Apps geht grundsätzlich eine wesentlich stärkere Gefährdung aus, da diese Apps mit höherer Wahrscheinlichkeit sensible Daten enthalten. Als die FireEye Experten die ersten Office-Apps mit angreifbarer OpenSSL-Version untersucht haben, fanden sie zu ihrer Überraschung heraus, dass sie nicht anfällig für Heartbleed-Angriffe waren. Der Grund dafür ist, dass diese Apps entweder einen Fehler in der Verknüpfung des eigenen Codes oder einfach funktionslosen Code enthalten. Wenn eine derartige App versucht, SSL-Funktionen aufzurufen, wird sie daher auf unbedenkliche OpenSSL-Bibliotheken des Android-Betriebssystems umgeleitet, anstatt die angreifbare Bibliothek der App selbst zu nutzen. Dieser Verknüpfungsfehler ist üblich für Android-Apps, die auf nativem Code basieren. Diese Tatsache – der Nebeneffekt eines Fehlers – sorgt also dafür, das allgemeine Gefährdungspotenzial dieser Apps zu reduzieren.

Von den 17 „Heartbleed-Detektor-Apps“ in Google Play führen nur sechs einen Check der Anfälligkeit bereits installierter Apps für die Heartbleed-Schwachstelle durch. Von diesen sechs Apps zeigen zwei dem Nutzer an, alle installierten Apps seien sicher – auch wenn Apps dabei sind, deren Angreifbarkeit FireEye bestätigt hat. Eine der „Detektor-Apps“ zeigt überhaupt keine Scan-Ergebnisse an, und eine weitere scannt die OpenSSL-Version nicht korrekt. Nur zwei der „Detektor-Apps“ haben im FireEye-Test einen brauchbaren Check der Heartbleed-Anfälligkeit von Apps durchgeführt. Zwar arbeiteten auch sie nicht ganz korrekt und haben einige nicht angreifbare Apps als angreifbar eingestuft, aber dennoch lieferten sie einen brauchbaren Report, der sowohl auf die Schwachstellen als auch die Verknüpfungsfehler hinwies. Auf der anderen Seite befanden sich unter den 17 „Heartbleed-Detektoren“ mehrere Apps, die weder einen richtigen Scan durchführen noch überhaupt irgendwelche Ergebnisse liefern – ihre Funktion scheint in erster Linie darin zu bestehen, Werbung anzuzeigen.

Am 10. April 2014 hat FireEye mehr als 54.000 Google Play Apps untersucht (jede mit über 100.000 Downloads) und herausgefunden, dass mindestens 220 Millionen Downloads von der Heartbleed-Schwachstelle betroffen sind. FireEye hat einige App-Entwickler und Anbieter von Bibliotheken über die OpenSSL-Heartbleed-Schwachstelle in ihren Produkten informiert. Die gute Nachricht: Die meisten davon scheinen Heartbleed ernst zu nehmen, denn einige der Apps wurden in der Folge bereits mit entsprechenden Updates versorgt. Dadurch hat sich die Gesamtanzahl angreifbarer App-Downloads bereits verringert – am 17. April waren es 150 Millionen. (pte )

Weiterführende Links zur News

Diskussion: Neuen Beitrag verfassen