Android: 1228 Apps weiterhin von FREAK-Lücke betroffen

Gegen die gefährliche HTTPS-Sicherheitslücke FREAK haben die meisten Hersteller mittlerweile Updates ausgeliefert. Microsoft hatte beispielsweise in der vergangenen Woche die Lücke in Windows zum Patch-Day geschlossen. Für iOS lieferte Apple die neue iOS-Version iOS 8.2 aus. Weiterhin betroffen bleiben aber Android-Nutzer, wie eine aktuelle Studie der Sicherheitsexperten von Fireeye zeigt.

Fireeye hat 10.985 populäre Android-Apps im Google Play überprüft, die jeweils über eine Million Male heruntergeladen wurden. 1228 dieser Apps, die insgesamt über 6,8 Milliarden Mal heruntergeladen wurden, sind laut Fireeye weiterhin von der FREAK-Sicherheitslücke betroffen, weil sie eine angreifbare OpenSSL-Bibliothek nutzen, die sich mit ebenfalls angreifbaren HTTPS-Servern verbindet.

Mit iOS 8.2 nicht auf der sicheren Seite

Unter iOS entdeckte Fireeye bei 771 der populärsten 14.079 Apps eine Gefährdung, wenn eine frühere Version als iOS 8.2 installiert ist. Allerdings sind iPhone- und iPad-Nutzer nicht vollkommen geschützt, wenn sie iOS 8.2 installiert haben. Sieben der 771 Apps nutzen eine eigene, weiterhin angreifbare OpenSSL-Version. Diese Apps sind also auch weiterhin von der FREAK-Lücke betroffen, solange die Entwickler nicht eine neue Version der Apps ausliefern. Welche Apps betroffen sind, verrät Fireeye aber nicht.

FREAK-Lücke erlaubt Ausspähen eigentlich sicherer Verbindungen

Angreifer könnten die FREAK-Lücke ausnutzen, um bei verschlüsselten Web-Verbindungen per Man-in-the-Middle eine schwache, knackbare Verschlüsselung zu erzwingen (RSA 512 Bit). Daraufhin könnten die von den Apps zu den Servern übertragenen Daten ausspioniert werden.

Über https://freakattack.com können Sie überprüfen, ob ihr Browser von der FREAK-Lücke betroffen ist. Unter Android und Chrome erscheint weiterhin ein roter Warntext, der über die Gefährdung informiert. (PC Welt/mje)