Die beiden hannoverschen Unternehmen CIPHRON und mediaTest digital, Kooperationspartner der praemandatum, haben die Schwachstelle in OpenSSL namens Heartbleed [CVE-2014-0160], die auch drei Jahre nach ihrer Entdeckung noch existent ist, umfassend untersucht und aktuell darüber berichtet.
„Heartbleed steht für einen eklatanten Fehler in der Krypthographie-Bibliothek OpenSSL, die zur Authentifizierung und Verschlüsselung über Netzwerke SSL oder TLS bereitstellt. 2014 sorgte die Entdeckung der Sicherheitslücke für große Aufregung, ermöglicht sie doch das Auslesen des kompletten Arbeitsspeichers des betroffenen Servers innerhalb des betroffenen Netzwerkes und bei bestehender Internetverbindung des Dienstes, auch darüber hinaus.
[…]
CIPHRON und mediaTest digital ermitteln mithilfe einer umfassenden Analyse ihrer Kundenstämme, inwieweit die Schwachstelle heute noch auftritt und welche Apps davon betroffen sind. Das Risiko, bei der Verwendung einer betroffenen App einen massiven Datenverlust zu erleiden und so seinen Anwendern und Kunden zu schaden, ist bei Heartbleed nicht zu unterschätzen.
Auf Basis des umfangreichen Datenbestandes von mediaTest digital – aus über 60.000 App-Tests (Android und iOS) – wurden IP-Adressen und URLs ausgelesen, zu denen sich diese Apps verbinden. Dies sind neben Trackingdiensten, die Nutzerdaten erheben, auch die Backends, die zur Nutzung der Apps notwendig sind.
[…]
Ein Großteil der [noch] betroffenen Server befindet sich in Fernost, allein 34 Server sind in China zu lokalisieren. Dennoch konnten auch einige Server identifiziert werden, die von deutsch- und englischsprachigen Apps genutzt werden, darunter eine deutsche Fitness-App und eine App, die Patientendaten verarbeitet.“
Mehr zu den aktuellen Heartbleed-Schwachstellen, die auch drei Jahre nach Entdeckung der Sicherheitslücke nicht behoben wurden, hier im ganzen Beitrag bei mediaTest digital.