FireEye: 150 Millionen Android-App-Downloads von Heartbleed betroffen

Momentan sind in Google Play 17 Antivirus-Apps verfügbar, die als „Heartbleed-Detektor“ beschrieben werden. Sechs davon scannen die OpenSSL-Bibliothek, die zur Android-Plattform gehört, nach Schwachstellen. Doch diese Methode ist laut FireEye unzureichend: Zwar sind die meisten Android-Plattformen von Heartbleed nicht betroffen: Entweder sie nutzen OpenSSL-Bibliotheken, die über diese Schwachstelle nicht angreifbar sind, oder bei ihnen ist die OpenSSL-Heartbeat-Funktion einfach deaktiviert.

Allerdings setzen Android-Apps häufig eigene Bibliotheken ein, die entweder direkt oder indirekt auf angreifbare OpenSSL-Bibliotheken zurückgreifen. Das heisst: Auch wenn die Android-Plattform selbst nicht angreifbar ist, können Cyberkriminelle den Umweg über betroffene Apps gehen. Sie können den Datenverkehr manipulieren, die App zu einem schädlichen Server umleiten und dann von diesem aus speziell erstellte Botschaften an die App senden, um sicherheitsrelevante Speicherinhalte zu stehlen.
FireEye hat Apps mit angreifbaren OpenSSL-Bibliotheken untersucht. Das Ergebnis: Die beschriebene Angriffsmethode funktioniert. Die meisten angreifbaren Apps sind Spiele, einige sind Office-Anwendungen. Die Spiele-Apps enthalten zwar nicht allzu viele wertvolle Informationen, allerdings können Angreifer OAuth-Tokens stehlen (Zugangs- und Refresh-Tokens), um die Spiele-Accounts zu kapern. Diese Information könnten Angreifer auch dazu nutzen, um Accounts in sozialen Netzwerken, die mit dem Spiel verbunden sind, mit falschen Einstellungen zu manipulieren.

Von den angreifbaren Office-Apps geht grundsätzlich eine wesentlich stärkere Gefährdung aus, da diese Apps mit höherer Wahrscheinlichkeit sensible Daten enthalten. Als die FireEye Experten die ersten Office-Apps mit angreifbarer OpenSSL-Version untersucht haben, fanden sie zu ihrer Überraschung heraus, dass sie nicht anfällig für Heartbleed-Angriffe waren. Der Grund dafür ist, dass diese Apps entweder einen Fehler in der Verknüpfung des eigenen Codes oder einfach funktionslosen Code enthalten. Wenn eine derartige App versucht, SSL-Funktionen aufzurufen, wird sie daher auf unbedenkliche OpenSSL-Bibliotheken des Android-Betriebssystems umgeleitet, anstatt die angreifbare Bibliothek der App selbst zu nutzen. Dieser Verknüpfungsfehler ist üblich für Android-Apps, die auf nativem Code basieren. Diese Tatsache – der Nebeneffekt eines Fehlers – sorgt also dafür, das allgemeine Gefährdungspotenzial dieser Apps zu reduzieren.

Am 10. April 2014 hat FireEye mehr als 54.000 Google Play Apps untersucht (jede mit über 100.000 Downloads) und herausgefunden, dass mindestens 220 Millionen Downloads von der Heartbleed-Schwachstelle betroffen sind. FireEye hat einige App-Entwickler und Anbieter von Bibliotheken über die OpenSSL-Heartbleed-Schwachstelle in ihren Produkten informiert. Die gute Nachricht: Die meisten davon scheinen Heartbleed ernst zu nehmen, denn einige der Apps wurden in der Folge bereits mit entsprechenden Updates versorgt. Dadurch hat sich die Gesamtanzahl angreifbarer App-Downloads bereits verringert – am 17. April waren es 150 Millionen. (ph/w&m)