Heartbleed ist nicht nur ein Desktop-Problem - Ihr Android könnte ein Risiko sein

Die meisten von uns kennen Heartbleed als einen Fehler, der Websites und Webserver betrifft, aber Android 4.1.1 verwendet auch die anfällige Version von OpenSSL. Dies bedeutet, dass einige Android-Smartphones und -Tablets anfällig für Heartbleed-Angriffe sind.

Die meisten von uns kennen Heartbleed als einen Fehler, der Websites und Webserver betrifft, aber Android 4.1.1 verwendet auch die anfällige Version von OpenSSL.  Dies bedeutet, dass einige Android-Smartphones und -Tablets anfällig für Heartbleed-Angriffe sind.
Werbung

Die meisten von uns kennen Heartbleed Heartbleed - Was können Sie tun, um sicher zu bleiben? Heartbleed - Was können Sie tun, um sicher zu bleiben? Lesen Sie mehr als einen Fehler, der Websites und Webserver betrifft, aber Android 4.1.1 verwendet auch die anfällige Version von OpenSSL. Mit anderen Worten, einige Android-Smartphones und -Tablets sind anfällig für Heartbleed-Angriffe.

Was ist das Risiko?

Heartbleed wurde verwendet, um verschiedene Webserver anzugreifen Digging Through The Hype: Hat Heartbleed tatsächlich jemanden verletzt? Graben durch den Hype: Hat Heartbleed wirklich jemanden verletzt? Weiterlesen . Kurz gesagt, Server mit der anfälligen Version von OpenSSL haben einen Fehler in ihrer Verschlüsselung, der ausgenutzt werden kann. Durch das Senden speziell gestalteter Pakete können Angreifer den Webserver zwingen, mit Teilen seines Arbeitsspeichers zu antworten. Dieser Arbeitsspeicher kann vertrauliche Passwörter, private Verschlüsselungsschlüssel und andere wichtige Daten enthalten.

Ihr Android-Gerät funktioniert natürlich nicht als Webserver. Das Problem ist, dass der Fehler auch umgekehrt funktionieren kann, wenn der Client - in diesem Fall Android - anfällige OpenSSL-Software ausführt. Mit anderen Worten, wenn Sie von Ihrem Android 4.1.1-Gerät aus eine Verbindung zu einer schädlichen oder kompromittierten Website herstellen, kann die Website speziell gestaltete Pakete senden und Ihr Android-Smartphone oder -Tablet dazu zwingen, mit Teilen seines Arbeitsspeichers zu antworten. Dieser Speicher könnte vertrauliche Daten enthalten, beispielsweise könnte er Daten, die zu einer Online-Banking-App gehören, oder Ihre Kreditkartennummer von einer Online-Shopping-App, die im Speicher gespeichert ist, verschenken. Es könnte Passwörter, private Nachrichten und alles, was Ihr Android im Speicher hat, weitergeben.

Wenn Sie ein anfälliges Gerät verwenden, können Websites, mit denen Sie über Ihren Browser eine Verbindung herstellen, und andere Apps den Heartbleed-Fehler verwenden, um den Inhalt des Speichergeräts Ihres Geräts zu erfassen.

android-heartbleed-bug

Wie viele Geräte sind anfällig?

Google hat diese Informationen in ihrem Heartbleed-Informationsblogpost veröffentlicht:

"Alle Versionen von Android sind immun gegen CVE-2014-0160 (mit Ausnahme von Android 4.1.1; Patch-Informationen für Android 4.1.1 werden an Android-Partner verteilt)."

Die gute Nachricht ist, dass Ihr Android-Gerät wahrscheinlich in Ordnung ist. Die schlechte Nachricht ist, dass das Entwickler-Dashboard von Google anzeigt, dass 33, 5% aller aktiven Geräte die Version 4.1.x, auch bekannt als Jelly Bean, verwenden. Dies schließt Geräte mit anderen Versionen von Android 4.1 Top 12 Jelly Bean Tipps für eine neue Google Tablet Experience Top 12 Jelly Bean Tipps für eine neue Google Tablet Experience Android Jelly Bean 4.2, ursprünglich auf dem Nexus 7 ausgeliefert, bietet eine großartige neue Tablet-Erfahrung überstrahlt frühere Versionen von Android. Es hat sogar unseren Apple-Fan beeindruckt. Wenn Sie ein Nexus 7 haben, ... Lesen Sie mehr, so dass wir nicht genau wissen, wie viele Geräte tatsächlich Android 4.1.1 speziell ausgeführt wird.

android-version-share-statistics

Überprüfen Sie, ob Ihr Gerät anfällig ist

Wenn Sie nicht sicher sind, welche Android-Version Ihre Geräte verwenden, sollten Sie dies zuerst überprüfen. Öffnen Sie die App Einstellungen, scrollen Sie zum unteren Bildschirmrand und tippen Sie auf Info oder Tablet. Auf diesem Bildschirm wird die unter Android-Version angezeigte Versionsnummer angezeigt.

Wenn Sie etwas anderes als 4.1.1 sehen, geht es Ihnen gut. Wenn Sie 4.1.1 sehen, haben Sie möglicherweise ein Problem.

find-android-version-number

Um zu überprüfen, ob Sie tatsächlich gefährdet sind, können Sie die Lookble Heartbleed Security Scanner App installieren. Diese App überprüft nicht nur Ihre installierte Android-Version. Stattdessen wird überprüft, ob die Version von OpenSSL auf Ihrem Gerät für Heartbleed anfällig ist. Es prüft auch, ob das Gerät tatsächlich anfällig ist - wenn OpenSSL ohne Unterstützung für Heartbeats auf Ihrem Gerät gebaut wurde, sind Sie möglicherweise sicher.

Hier verwenden wir ein Nexus 4 mit Android 4.4.2 und Heartbleed Detector sagt, dass OpenSSL anfällig ist. Die Heartbeat-Funktion ist jedoch in dieser Version von Android deaktiviert, daher sind wir vollkommen in Ordnung. Trotz der potenziell beunruhigenden Warnmeldung müssen wir uns keine Sorgen machen.

is-my-android-vulnerable-to-heartbleed

Aktualisieren Sie Ihr Gerät

Die eigentliche Lösung für anfällige Geräte ist ein Update. Wie Google sagte, versuchen sie Android-Geräteherstellern und Mobilfunkanbietern zu helfen, ihre Geräte zu patchen. Wir alle wissen jedoch, dass die Android-Update-Situation ein Chaos sein kann. Hersteller haben viele verschiedene Geräte zu aktualisieren, so dass sie möglicherweise noch keinen Patch veröffentlicht haben - oder sie geben keinen Patch heraus, wenn das Gerät älter ist. Selbst wenn ein Hersteller einen Patch veröffentlicht, müssen die Mobilfunkanbieter ihn bereitstellen und möglicherweise seine Füße ziehen oder den Patch niemals freigeben.

Wenn Ihr Gerät anfällig ist, sollten Sie versuchen, mithilfe der integrierten Aktualisierungsfunktion auf die neueste verfügbare Android-Version für Ihr Gerät zu aktualisieren. Dies variiert von Gerät zu Gerät und Träger zu Träger.

update-android

Wenn Sie nicht aktualisieren können

Wenn Ihre Android-Hardware anfällig für Heartbleed ist und keine Patches verfügbar sind, werden Sie hoffentlich bald eins bekommen. Zur Sicherheit sollten Sie keine sensiblen Daten auf Ihrem Gerät speichern. Das bedeutet, dass Sie Online-Banking-Apps deinstallieren, Ihre Kreditkarte nicht in Websites und Apps eingeben und ähnliches. Natürlich werden Ihre Passwörter und Nachrichten weiterhin angezeigt. Sie sollten es wirklich vermeiden, Websites zu besuchen und Apps so oft wie möglich zu verwenden, wenn Ihr Gerät eine Sicherheitslücke darstellt.

Bei den meisten Android-Geräten gibt es keine anfällige Version und auf den meisten Geräten, auf denen die anfälligen Versionen ausgeführt werden, sollten Updates verfügbar sein, um dieses Problem zu beheben. Wenn Sie eines der wenigen Geräte verwenden, die nicht aktualisiert wurden, sollten Sie keine sensiblen Daten mehr auf dem Gerät speichern. Vielleicht möchten Sie sich mit Ihrem Mobilfunkanbieter oder dem Gerätehersteller in Verbindung setzen und nachsehen, ob Sie bald ein Update veröffentlichen werden. Wenn Ihr Gerät kein Update erhält, ist es möglicherweise an der Zeit, ein neues zu erhalten.

Natürlich können Sie immer ein benutzerdefiniertes ROM installieren So finden und installieren Sie ein benutzerdefiniertes ROM für Ihr Android-Gerät So finden und installieren Sie ein benutzerdefiniertes ROM für Ihr Android-Gerät Android ist super anpassbar, aber um dies vollständig auszunutzen, müssen Sie flash ein benutzerdefiniertes ROM. Hier ist, wie man das macht. Lesen Sie mehr wie CyanogenMod So installieren Sie CyanogenMod auf Ihrem Android-Gerät So installieren Sie CyanogenMod auf Ihrem Android-Gerät Viele Leute können zustimmen, dass das Android-Betriebssystem ziemlich genial ist. Es ist nicht nur großartig zu verwenden, aber es ist auch kostenlos wie in Open Source, so dass es geändert werden kann ... Lesen Sie mehr, um die Version von Android zu ersetzen, die mit Ihrem Gerät kommt. Dadurch erhalten Sie eine aktuelle Version von Android, die nicht anfällig ist, aber es ist ein bisschen mehr Arbeit.

remove-sensitive-data

Sicher, es gibt keine bekannten Fälle, in denen diese Sicherheitslücke ausgenutzt wird, aber Vorsicht ist besser als Nachsicht. Es wäre sehr schwierig zu erkennen, ob ein Android-Gerät ausgenutzt wurde.

Heartbleed wurde verwendet, um sensible Steuerinformationen, Kennwörter und andere Daten online zu erfassen. Daher sollten Sie keine Software verwenden, die anfällig für Heartbleed-Angriffe ist.

Bildquelle: Indi Samarajiwa auf Flickr

In this article