Heartbleed

OpenSSL-Sicherheitslücke betrifft Android und VPN-Verbindungen

Die Open-SSL-Sicherheitslücke Heartbleed wurde bei vielen deutschen Android-Usern nachgewiesen. Auch VPN-Verbindungen konnten kompromittiert werden.

Die Sicherheitslücke Heartbleed zieht weiter ihre Kreise.

© heartbleed.com

Die Sicherheitslücke Heartbleed zieht weiter ihre Kreise.

Heartbleed zieht immer noch weitere Kreise. Seit die schwerwiegende Sicherheitslücke in der Open-SSL-Bibliothek vor 14 Tagen bekannt wurde, gibt es immer wieder neue Meldungen über Bereiche, die von Heartbleed betroffen sind. Ob die Lücken jeweils auch tatsächlich ausgenutzt wurden, ist kaum auszumachen, da der spezielle Auslese-Mechanismus bei der SSL-Verbindung keine Spuren hinterlässt. Wie wir berichteten, betraf Heartbleed zwei Drittel aller Web-Server.

Egal ob die Lücke, wie der verantwortliche Heartbleed-Programmierer meldete, ein reines Versehen war oder nicht, der Sicherheits-GAU Heartbleed ist noch nicht ausgestanden. Besonders Android-User sollten sich jetzt vergewissern, ob ihr Gerät betroffen ist. Google hat die gefährdete SSL-Version in Android 4.1.1. eingesetzt. Wer dieses System einsetzt,  sollte damit zunächst keine sicherheitsrelevanten Daten mehr übermitteln. Google stellte bereits Sicherheits-Updates bereit, die das Problem im OS selber beheben.

Dennoch kann das Sicherheitsloch weiter bestehen, da verschiedene Apps ihre eigene SSL-Versionen mitbringen, die weiterhin gefährdet sein können. Analysten entdeckten etwa 1.300 Android-Programme, die Heartbleed-anfällig sind - auch wenn die User eine andere BS-Version einsetzten. Auch Banking-Apps waren darunter. Auskunft darüber, ob sich auf seinem mobilen Gerät noch solche Apps befinden, kann der Android-User über den Heartbleed Sicherheit Scanner bei Google-Play erlangen.

Lesetipp: Anonyme Downloads mit VPN

Eine weitere schlechte Nachricht betrifft die User von VPN-Verbindungen. Unter Laborbedingungen konnten Sicherheitsforscher über die Heartbleed-Lücke auf VPN-Server zugreifen, die OpenVPN einsetzen, und damit die verschlüsselten HTTPS-Verkehr anderer Nutzer auslesen. Diese Angriffe sind allerdings sehr viel schwerer durchführbar als die Angriffe auf normale Web-Server.

Mehr zum Thema

Der für die OpenSSL-Lücke verantwortliche Programmierer meldet sich zu Wort.
Heartbleed

Die Heartbleed-Sicherheitslücke in OpenSSL kommt von einem deutschen Programmierer. Im Gespräch gibt der Verantwortliche an, dass es ein Versehen…
Google will seinen E-Mail-Verkehr zu 100 Prozent sicher machen.
Googlemail mit Verschlüsselung

Google zieht endlich nach. Künftig werden E-Mails von Gmail-Nutzern an andere Gmail-Nutzer verschlüsselt - zu einer Abdeckung von 100 Prozent.
Telekom-Logo
Telekom-Rechnung

Die Deutsche Telekom warnt wieder vor E-Mails, die sich als Telekom-Rechnungen tarnen. Mittlerweile existieren sogar Schreiben, in denen Betroffene…
Facebook-Logo
Verbraucherzentrale reicht's

Die neuen Facebook-Nutzungsbedingungen verstoßen laut Verbraucherschützern gegen deutsches Recht. Der Verbraucherzentrale Bundesverband mahnt…
Symbolbild: Sicherheit
Free Proxy als Sicherheitsrisiko

Vorsicht beim Einsatz eines kostenlosen Proxy-Servers. Viele Einträge in verlockenden Free-Proxy-Listen bergen hohe Sicherheitsrisiken.