mediaTest digital und CIPHRON untersuchen das Phänomen „Heartbleed“
Heartbleed steht für einen eklatanten Fehler in der Krypthographie-Bibliothek OpenSSL, die zur Authentifizierung und Verschlüsselung über Netzwerke SSL oder TLS bereitstellt. 2014 sorgte die Entdeckung der Sicherheitslücke für große Aufregung, ermöglicht sie doch das Auslesen des kompletten Arbeitsspeichers des betroffenen Servers innerhalb des betroffenen Netzwerkes und bei bestehender Internetverbindung des Dienstes, auch darüber hinaus.
CIPHRON und mediaTest digital ermitteln mithilfe einer umfassenden Analyse ihrer Kundenstämme, inwieweit die Schwachstelle heute noch auftritt und welche Apps davon betroffen sind. Das Risiko, bei der Verwendung einer betroffenen App einen massiven Datenverlust zu erleiden und so seinen Anwendern und Kunden zu schaden, ist bei Heartbleed nicht zu unterschätzen.
Auf Basis des umfangreichen Datenbestandes von mediaTest digital – aus über 60.000 App-Tests (Android und iOS) – wurden IP-Adressen und URLs ausgelesen, zu denen sich diese Apps verbinden. Dies sind neben Trackingdiensten, die Nutzerdaten erheben, auch die Backends, die zur Nutzung der Apps notwendig sind.
Für die Suche nach Heartbleed-Vorkommnissen sind nur die Dienste relevant, die mit einer TLS- bzw. SSL-Verschlüsselung und –Authentifizierung arbeiten. Nach Bereinigung der doppelten IP-Adressen konnten insgesamt 74.978 einzelne Server untersucht werden. Lediglich 0,13 Prozent – also 96 an der Zahl – der untersuchten Server zeigten eine Heartbleed-Schwachstelle auf, die auch drei Jahre nach Entdeckung der Sicherheitslücke nicht behoben wurde.
Vorkommen der OpenSSL-Schwachstelle „Heartbleed“ in 2017, auf Basis des Datenbestandes von mediaTest digitalDie 96 betroffenen Server unterzogen CIPHRON und mediaTest digital einer genaueren Prüfung. Das Ergebnis: Ein Großteil der betroffenen Server befindet sich in Fernost, allein 34 Server sind in China zu lokalisieren. Dennoch konnten auch einige Server identifiziert werden, die von deutsch- und englischsprachigen Apps genutzt werden, darunter eine deutsche Fitness-App und eine App, die Patientendaten verarbeitet.
Standort-Übersicht der 96 Server, die von Heartbleed betroffen sind
Alle Anbieter, der betroffenen Dienste und Apps sind von CIPHRON und mediaTest digital über die Befunde informiert worden. Den Hinweis auf die bestehende Sicherheitslücke in ihren Anwendungen haben jedoch bis heute nur wenige zum Anlass für eine Reaktion genommen.
Smartphone-Nutzer müssen sich in Sachen Heartbleed wenig Sorgen um ihre Datensicherheit machen müssen, da die meisten Anbieter zu Content Delivery Networks (wie z.B. Cloudflare) übergegangen sind. Auch dadurch sind die meisten Apps serverseitig derzeit nicht mehr betroffen.
Zusätzliche Untersuchung auf Samba-Schwachstelle „DOUBLEPULSAR“
CIPHRON und mediaTest digital haben in Anlehnung an die Heartbleed-Untersuchung den Datenbestand auch zur Samba-Schwachstelle geprüft. Diese Sicherheitslücke ist eine Hintertür von der NSA, die im Zuge der aktuellen NSA-Leaks bekannt wurde und die Schwachstelle „ETERNAL BLUE“ in Samba ausnutzt. Über diese Lücke kann die Backdoor “DOUBLEPULSAR“ implementiert werden. Diese Schwachstelle sorgte jüngst im „WannaCry“-Vorfall – Stichwort Ransomware – weltweit für Furore.
Bei der Untersuchung konnte ein betroffener Server identifiziert werden. Der Anbieter hat auf den Fund bislang nicht reagiert. Da die App, deren Server Auffälligkeiten zeigt, seit über fünf Jahren nicht mehr aktualisiert wurde, ist davon auszugehen, dass der Anbieter die App nicht mehr aktiv unterstützt.
Sie haben Fragen zu diesen und anderen Themen rund um IT-Security und App-Sicherheit? Wenden Sie sich gerne an die Experten von mediaTest digital und CIPHRON:
Wulf Bolte (CTO, mediaTest digital) u.a.:
– SaaS-Lösung für Mobile Application Management (Appvisory)
– App-Security Audits
– Automatisches App Positiv- und Negativlisting (ehemals White- und Blacklisting) inkl. MDM-Integration
Karsten Kai König (Information Security Consultant, Ciphron) u.a.:
– Penetration Tests
– Code Reviews
