KURZ-WEBINAR: Wie (un)sicher sind Apps wirklich?" startet in

Tag(e)

:

Stunde(n)

:

Minute(n)

:

Sekunde(n)

Heartbleed in 2017 – eine Untersuchung

17 Mai, 2017

mediaTest digital und CIPHRON untersuchen das Phänomen „Heartbleed“

Die Schwachstelle in OpenSSL namens Heartbleed [CVE-2014-0160] ist auch drei Jahre nach ihrer Entdeckung existent. Die beiden hannoverschen Unternehmen CIPHRON und mediaTest digital haben es sich zur Aufgabe gemacht, das Auftreten des Programm-Fehlers in einer umfassenden Untersuchung nachzuweisen.
Heartbleed steht für einen eklatanten Fehler in der Krypthographie-Bibliothek OpenSSL, die zur Authentifizierung und Verschlüsselung über Netzwerke SSL oder TLS bereitstellt. 2014 sorgte die Entdeckung der Sicherheitslücke für große Aufregung, ermöglicht sie doch das Auslesen des kompletten Arbeitsspeichers des betroffenen Servers innerhalb des betroffenen Netzwerkes und bei bestehender Internetverbindung des Dienstes, auch darüber hinaus.

 

Vorgehen in der Untersuchung des Datenbestandes auf Heartbleed
CIPHRON und mediaTest digital ermitteln mithilfe einer umfassenden Analyse ihrer Kundenstämme, inwieweit die Schwachstelle heute noch auftritt und welche Apps davon betroffen sind. Das Risiko, bei der Verwendung einer betroffenen App einen massiven Datenverlust zu erleiden und so seinen Anwendern und Kunden zu schaden, ist bei Heartbleed nicht zu unterschätzen.

Auf Basis des umfangreichen Datenbestandes von mediaTest digital – aus über 60.000 App-Tests (Android und iOS) – wurden IP-Adressen und URLs ausgelesen, zu denen sich diese Apps verbinden. Dies sind neben Trackingdiensten, die Nutzerdaten erheben, auch die Backends, die zur Nutzung der Apps notwendig sind.

Ergebnisse der Untersuchung auf Heartbleed
Für die Suche nach Heartbleed-Vorkommnissen sind nur die Dienste relevant, die mit einer TLS- bzw. SSL-Verschlüsselung und –Authentifizierung arbeiten. Nach Bereinigung der doppelten IP-Adressen konnten insgesamt 74.978 einzelne Server untersucht werden. Lediglich 0,13 Prozent – also 96 an der Zahl – der untersuchten Server zeigten eine Heartbleed-Schwachstelle auf, die auch drei Jahre nach Entdeckung der Sicherheitslücke nicht behoben wurde.

Vorkommen der OpenSSL-Schwachstelle „Heartbleed“ in 2017, auf Basis des Datenbestandes von mediaTest digitalDie 96 betroffenen Server unterzogen CIPHRON und mediaTest digital einer genaueren Prüfung. Das Ergebnis: Ein Großteil der betroffenen Server befindet sich in Fernost, allein 34 Server sind in China zu lokalisieren. Dennoch konnten auch einige Server identifiziert werden, die von deutsch- und englischsprachigen Apps genutzt werden, darunter eine deutsche Fitness-App und eine App, die Patientendaten verarbeitet.

Standort-Übersicht der 96 Server, die von Heartbleed betroffen sind

Alle Anbieter, der betroffenen Dienste und Apps sind von CIPHRON und mediaTest digital über die Befunde informiert worden. Den Hinweis auf die bestehende Sicherheitslücke in ihren Anwendungen haben jedoch bis heute nur wenige zum Anlass für eine Reaktion genommen.
Smartphone-Nutzer müssen sich in Sachen Heartbleed wenig Sorgen um ihre Datensicherheit machen müssen, da die meisten Anbieter zu Content Delivery Networks (wie z.B. Cloudflare) übergegangen sind. Auch dadurch sind die meisten Apps serverseitig derzeit nicht mehr betroffen.

Zusätzliche Untersuchung auf Samba-Schwachstelle „DOUBLEPULSAR“
CIPHRON und mediaTest digital haben in Anlehnung an die Heartbleed-Untersuchung den Datenbestand auch zur Samba-Schwachstelle geprüft. Diese Sicherheitslücke ist eine Hintertür von der NSA, die im Zuge der aktuellen NSA-Leaks bekannt wurde und die Schwachstelle „ETERNAL BLUE“ in Samba ausnutzt. Über diese Lücke kann die Backdoor “DOUBLEPULSAR“ implementiert werden. Diese Schwachstelle sorgte jüngst im „WannaCry“-Vorfall – Stichwort Ransomware – weltweit für Furore.

Bei der Untersuchung konnte ein betroffener Server identifiziert werden. Der Anbieter hat auf den Fund bislang nicht reagiert. Da die App, deren Server Auffälligkeiten zeigt, seit über fünf Jahren nicht mehr aktualisiert wurde, ist davon auszugehen, dass der Anbieter die App nicht mehr aktiv unterstützt.

Sie haben Fragen zu diesen und anderen Themen rund um IT-Security und App-Sicherheit? Wenden Sie sich gerne an die Experten von mediaTest digital und CIPHRON:

Wulf Bolte (CTO, mediaTest digital) u.a.:
– SaaS-Lösung für Mobile Application Management (Appvisory)
– App-Security Audits
– Automatisches App Positiv- und Negativlisting (ehemals White- und Blacklisting) inkl. MDM-Integration

Karsten Kai König (Information Security Consultant, Ciphron) u.a.:
– Penetration Tests
– Code Reviews

Dies könnte Sie auch interessieren

Das könnte Sie auch interessieren:

blank

Whitepaper: Wie sicher ist iOS wirklich?

Lange Zeit galt der Mythos, dass Apple-Geräte immer sicher sind. In letzter Zeit scheint Apple seinen Status als uneinnehmbare Festung jedoch zu verlieren. Erfahren Sie in unserem 12-seitigen Whitepaper, wie Sie die Risiken umgehen können.

Apptests, Tipps und ein Gratis-Geschenk!

PRESSEKONTAKT

Carolin Thomalla | PR & Communication

press@appvisory.com
Telefon +49 (0)511 35 39 94 22
Fax +49 (0)511 35 39 94-12

Apptests, Tipps und ein Gratis-Geschenk!

Jetzt zum Newsletter anmelden!

Datenschutzerklärung: Wir versenden keinen Spam. Sie können den Newsletter jederzeit abbestellen.