Heartbleed und kein Ende: Die Anfang April gefundene Sicherheitslücke im Verschlüsselungsprogramm OpenSSL ist zwar auf vielen Server-Systemen inzwischen behoben, allerdings sind viele Android-Apps noch immer anfällig. Das geht aus einer Studie des Sicherheitsanbieters FireEye hervor. Vor allem installierte Anwendungen sind demnach betroffen, so die Forscher. Aktuell seien die anfälligen Applikationen rund 150 Millionen Mal heruntergeladen worden. Am 10. April 2014 hat FireEye mehr als 54.000 Google Play Apps untersucht (jede mit über 100.000 Downloads) und herausgefunden, dass mindestens 220 Millionen Downloads von der Heartbleed-Schwachstelle betroffen sind.
Zwar gibt es laut FireEye etwa 17 Applikationen, die Android-Smartphones auf die Heartbleed-Lücke testen (etwa der bereits vorgestellte Heartbleed Detector von Lookout ) nur sechs davon prüfen aber auch die installierten Anwendungen auf Schwachstellen. Nur wenn aber auch die lokalen Apps geprüft werden, ist sichergestellt, dass sich die Lücke nicht ausnutzen lässt. Eine solche Anwendung, die auch die Applikationen überprüft, ist der kostenlose Heartbleed Detector von Trend Micro.
FireEye hat einige App-Entwickler und Anbieter von Bibliotheken über die OpenSSL-Heartbleed-Schwachstelle in ihren Produkten informiert. Die gute Nachricht: Die meisten davon scheinen Heartbleed ernst zu nehmen, denn einige der Apps wurden in der Folge bereits mit entsprechenden Updates versorgt. Dadurch hat sich die Gesamtanzahl angreifbarer App-Downloads bereits verringert.