Heartbleed auch für mobile Apps gefährlich

Originalartikel von Veo Zhang, Mobile Threats Analyst

Der Heartbleed-Bug betrifft zahllose Websites und Server, die sich nun bemühen, das Problem zu beseitigen. Einem Test des webbasierten Hosting-Dienstes für Software-Entwicklungsprojekte Github zufolge sind mehr als 600 der Top 10.000 Sites angreifbar. Zum Zeitpunkt des Scannings gehörten zu den betroffenen Sites unter anderen Yahoo, Flickr, OKCupid, Rolling Stone und Ars Technica. Nun stellt sich auch die bange Frage, ob mobile Anwendungen auch gefährdet sind – kurze Antwort: ja.

 

Mobile Apps sind deshalb verwundbar, weil sie sich häufig mit Servern und Webservices verbinden, um verschiedene Funktionen auszuführen, und es gibt eine beachtliche Anzahl von Domänen, die von der Sicherheitslücke betroffen sind.

Angenommen, ein Nutzer will gerade für einen Einkauf innerhalb einer App bezahlen und muss deshalb seine Kreditkartendaten eingeben. Danach führt die mobile App die Transaktion aus. Während der Nutzer sich weiteren Aktionen widmet, werden seine Kreditkatendaten in dem Server gespeichert, mit dem die mobile App die Transaktion ausgeführt hat. Dort lagern die Daten möglicherweise für unbestimmte zeit, sodass Cyberkriminelle über den Heartbleed-Bug den Server angreifen und die Informationen auslesen können.

Doch geht es nicht nur um so genannte In-App-Einkäufe, sondern um alle Apps, die Verbindung zu einem Online-Server, etwa für den Zugriff auf soziale Netze, aufnehmen, denn dieser könnte angreifbar sein.

Beispielsweise könnte die App den Nutzer über eine Belohnung ködern, sie mit „gefällt mir“ zu bewerten oder ihr zu „folgen“. Willigt der Nutzer mit OK ein, so ist es wahrscheinlich, dass die App über ihren eigenen In-App Browser die Website selbst öffnet und der Nutzer sich dort beim sozialen Netzwerk anmelden muss. Das bedeutet nicht, dass das soziale Netzwerk angreifbar ist, doch möglich wäre es.

Die Trend Micro-Sicherheitsforscher haben einige Webservices untersucht, die von beliebten mobilen Apps genutzt werden. Das Ergebnis: Die Sicherheitslücke ist immer noch vorhanden. Die Analysten scannten um die 390.000 Apps aus Google Play und fanden circa 1.300 Apps, die mit angreifbaren Servern verbunden waren. Darunter waren 15 Banking-Apps, 39 Apps rund um das Online-Bezahlen und zehn, die mit Online-Shopping zu tun hatten. Auch gab es einige beliebte Apps für den täglichen Gebrauch wie Instant Messaging, Tastaturen und sogar Mobile Payment Apps.

Leider können Nutzer nicht viel tun, um sich zu schützen. Sie können ihr Kennwort ändern, doch das hilft nicht, wenn der App-Entwickler, und auch der Webservice-Provider, das Problem auf seiner Seite nicht behebt. Das bedeutet, er muss auf die gepatchte Version von OpenSSL upgraden oder zumindest die problematische Heartbeat-Erweiterung abschalten.

Die beste Empfehlung bis dahin ist, keine In-App-Einkäufe oder sonstige finanzielle Transaktionen zu tätigen.

Ein Gedanke zu „Heartbleed auch für mobile Apps gefährlich

  1. Peter

    Man liest so viel, aber ich habe nie von jemandem gelesen, der wirklich betroffen gewesen wäre. Ich selbst habe eine App um mit mobilen Gutscheinen einzukaufen, aber ich denke nicht, dass es da irgendwelche Sicherheitsprobleme gibt, ich lass mich aber gerne eines besseren belehren. Ich meine, die mobilen Gutscheine sind ja auch auf meinem Namen ausgestellt und wenn irgendwer anders diese benützten möchte, könnte man das ja leicht nachverfolgen?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*