Durch die Heartbleed-Lücke lassen sich nicht nur Server, auch Clients, die die Verschlüsselungs-Bibliothek OpenSSL einsetzen, angreifen. Offenbar können Smartphone-Nutzer doch aufatmen. Ab Werk setzen weder iOS noch Android und schon gar nicht Windows Phone eine verwundbare OpenSSL-Versionen ab 1.0.1 ein.

Für die Verschlüsselung von Haus aus nutzen iOS und Windows Mobile gar kein OpenSSL, sondern eigene Krypto-Bibliotheken. Zwar setzt Googles Android auf die Open-Source-Bibliothek auf, aber größtenteils kommen Versionen zum Einsatz, die keinen Heartbleed verwenden und somit nicht anfällig sind.

OpenSSL 1.0.0.a kam bis Version 2.3 aka Gingerbread zum Einsatz. Google stieg bei Android 4 dann zwar auf das eigentlich anfällige OpenSSL 1.0.1 um, entfernte jedoch noch vor Erscheinen von 4.1.2 die problematische Heartbleed-Funktion. Jedoch hatte das nichts mit Sicherheitsbedenken zu tun, sondern bezog sich auf Probleme im Zusammenhang mit WLAN-Funktionen. Somit sind alle folgenden Android-Versionen sicher; problematisch sind nur Smartphones, auf denen etwa Android 4.1.1 läuft.

(jk, hannover)

(siehe auch Heise-News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE