Das OpenSSL-Leck Heartbleed zieht weite Kreise. Nun soll auch noch Android 4.1 für die Lücke anfällig sein. Das hat der Sicherheitsforscher Jake Williams, Berater bei CSR Group Computer Security Consultants, auf einer Veranstaltung des SANS Institute in Australien erklärt. In diesem Zusammenhang kritisierte er nicht nur das Leck, sondern auch die fehlende Bereitschaft von Handyherstellern, Sicherheitspatches für Geräte bereitzustellen.
Unklarheit besteht allerdings noch darüber, welche Versionen von Android 4.1 betroffen sind. Es wird angenommen, dass 4.1.0 und 4.1.1 anfällig sind, während einigen Berichten zufolge der Fehler nur in Android 4.1.1 stecken soll. Laut Williams aber läuft die Version 4.1.x noch auf mehr als einem Drittel aller funktionsfähigen Android-Geräte.
“Wenn Sie eine derartig frühe Version von Android einsetzen, sind Sie leider wahrscheinlich betroffen”, sagte Williams. Die Verfügbarkeit von Patches sei jedoch “geringer als erwünscht”. Linux hingegen, das die Grundlage für Android bildet, wird von Forschern für die schnelle Veröffentlichung eines Updates für OpenSSL gelobt.
James Lyne, leitender Sicherheitsforscher bei Sophos, sieht die Verantwortung vor allem bei den Mobilfunkprovider. “In vielen Fällen sind es die Anbieter, nicht die der Hardware, sondern die Telefongesellschaften, die nicht verantwortungsbewusst handeln.”
Auf der Veranstaltung des SANS Institute verschärften einige Redner zudem ihre Kritik an der Informationspolitik vieler Firmen. Vor allem Banken informierten ihre Kunden nicht darüber, ob sie auch von Heartbleed betroffen seien. Einige Organisationen hätten zwar Pressemitteilungen herausgegeben, sie enthielten aber nicht die notwendigen Informationen. Eine Bank habe beispielsweise behauptet, sie hätte bereits Maßnahmen gegen einen Datendiebstahl ergriffen und auch einen Patch installiert, sagte Williams. Das von der Bank benutzte SSL-Zertifikat sei jedoch am 4. Dezember 2012 erstellt worden und damit unsicher.
“Wenn sie tatsächlich betroffen waren und einen Patch einspielen mussten, dann erschreckt es mich zu Tode, dass sie nach dem Patch das Zertifikat nicht neu ausgestellt haben”, sagte Williams. Die Bank sei aber nur ein Beispiel für die “Mittelmäßigkeit” vieler Organisationen, “was jeden hier im Saal erschrecken sollte.”
Apple hat indes gegenüber Recode bestätigt, dass das Mobilbetriebssystem iOS nicht von dem Heartbleed-Bug betroffen ist. “iOS und OS X enthielten niemals die anfällige Software, und auch wichtige webbasierte Dienste waren nicht betroffen”, sagte ein Apple-Sprecher dem Blog.
Nutzer von betroffenen Websites sollten die Zugangsdaten ändern. Eine Passwortänderung sollte aber erst durchgeführt werden, wenn der betreffende Betreiber des Servers den Patch für die Lücke in OpenSSL und ein neues Zertifikat eingespielt hat.
[mit Material von Stilgherrian, ZDNet.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Wo es früher auf Buchhalter, Schreiber und Boten ankam, geht es heute vor allem um…
Mit KI-Technologien lässt sich das Einkaufserlebnis personalisieren und der Service optimieren, sagt Gastautor Gabriel Frasconi…
Ein Großteil der weltweiten KI-Gelder fließt in den Finanzsektor. 2023 wurden in der Branche 87…
Die Übernahme des US-amerikanischen Anbieters Altair Engineering soll die Position im Markt für Computational Science…
Ein deutsch-französisches Projekt hat hybride Operationssäle entwickelt, die durch 5G-Netz und KI neue Anwendungen ermöglichen.
Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…
View Comments
Mal sehen, wann sich herumspricht, dass jedes technische Gerät, das die fragliche Version von OpenSSL einsetzt, betroffen ist. Ich denke da speziell an Industrieanlagen und Infrastuktureinrichtungen im öffentlichen Sektor mit Zugriff auf das Netz der Netze. So verdächtig still aus der Ecke "Internet der Dinge".