Knapp eine Woche ist es her, dass der SSL-Bug Heartbleed bekannt wurde. Viele Betreiber von Online-Diensten sowie Entwickler haben schnell reagiert und die fatale Lücke u.a. durch den Austausch des Zertifikates geschlossen. Doch Heartbleed betrifft nicht nur das Web! Auch das mobile System Android ist von dem Fehler in der Heartbeat-Funktion von OpenSSL betroffen. Um die Nutzer besser zu informieren, hat der Sicherheitsanbieter Lookout die kostenlose App Heartbleed Detector veröffentlicht, die das Smartphone oder Tablet analysiert. Binnen fünf Tagen wurde die Anwendung über 363.000 Mal heruntergeladen. Nutzer können freiwillig ihre Daten mit Lookout teilen und so an einer weltweiten, anonymen, statistischen Erhebung teilnehmen. Erste Zahlen haben wir bereits letzte Woche veröffentlicht – nun gibt es neue Erkenntnisse.

95,18% aller getesteten Android-Smartphones und Tablets sind nicht von Heartbleed betroffen. Das hat die Analyse von mittlerweile über 102.000 Datensätzen, die durch den Heartbleed Detectors erhobenen wurden, hervorgebracht. Die Daten offenbaren eine deutliche Verteilung auf die wichtigsten Länder: In Deutschland sind 8,56% aller getesteten Geräte betroffen. Großbritannien nimmt mit 7,05% den zweiten Platz ein. Deutlich weniger sind es in Frankreich mit 3,79%, gefolgt von den Vereinigten Staaten mit 3,03%.

Die Auswertung von Lookout hat ergeben, dass auch Android ab Version 4.1.2 von Heartbleed betroffen ist. Eigentlich hatte Google die Sicherheitslücke im Jahr 2012 beseitigt. Der Heartbleed Detector hat aber gezeigt, dass 5,48% aller ausgewerteten Smartphones und Tablets mit Android 4.2.2 auf eine veraltete Version von OpenSSL setzen. Nachforschungen ergaben, dass es sich um so genannte Custom ROMs handelt, die nur laienhaft und ohne Augenmerk auf den Sicherheitsaspekt entwickelt wurden. Im Vergleich zu Android 4.1.1 ist die Zahl aber gering, hier liegt die Verbreitung von Heartbleed bei 85,55%, und betrifft aktuellen Erkenntnissen nach nicht die offizielle Firmware, die durch OEMs freigegeben wurde.

Eine ebenfalls unrühmliche Position nimmt HTC in der Auswertung ein: Die Hälfte aller infizierten Geräte stammen von dem taiwanesischen Smartphone-Pionier. Dabei ist das nicht in Europa erhältliche HTC Evo 4G auf dem ersten Platz, gefolgt von dem HTC One X sowie dem HTC One S.

Weitere informationen unter:

https://blog.lookout.com/blog/2014/04/09/heartbleed-detector/