Der Heartbleed-Bug war ohne Übertreibung ein GAU im Internet und die Schäden sind immer noch nicht vollständig beseitigt. Eine neue Sicherheitslücke namens Cupid macht Android-Geräte sowie WLAN-Router nun anfällig für Hacker-Angriffe.
Auch interessant: Heartbleed: Google, Facebook und Microsoft starten Open-Source-Schutzprogramm
Vor einigen Wochen herrschte an Panik grenzende Aufregung im Internet, als die Heartbleed-Sicherheitslücke bekannt wurde. Für ein paar Tage beherrschte das Thema zurecht die Medien, bis es dann den Weg aller Nachrichten ging und in der Versenkung verschwand. Doch dies erzeugt lediglich ein falsches Gefühl von Sicherheit, dabei ist die Gefahr noch lange nicht vorbei, wie zwei neue Sicherheitslücken zeigen, die auf der dem Heartbleed-Bug basieren.
Der portugiesische Sicherheitsforscher Luis Grangeia hat in einem Report beschrieben, wie die gleiche Lücke über WLAN ausgenutzt werden kann, um neue Arten von Angriffen durchzuführen. Die gleiche Vorgehensweise wird dementsprechend nicht über das offene Web ausgeführt, sondern über WLAN-Verbindungen – dies grenzt die Verbreitung zwar erstmal gegenüber Heartbleed deutlich ein, macht sie aber nicht weniger besorgniserregend.
Auf diesem Wege können von Enterprise-Routern Daten aus dem Speicher ausgelesen werden, oder über infizierte Router Android-Geräte Ziel der Angriffe sein, sobald diese sich mit dem WLAN verbinden. Auf diesem Weg können sensible Daten wie Benutzernamen und Passwörter, Client-Zertifikate und Private Keys in die Hände der Angreifer gelangen. Grangeia gab allerdings zu, dass er keine ausreichenden Tests durchgeführt hat, um einzuschätzen, wie viele Geräte von der Sicherheitslücke betroffen sind. Er hat ein Proof of Concept veröffentlicht und fordert die Hersteller und Administratoren auf, dringend zu reagieren.
Als wäre dies noch nicht beunruhigend genug sind immer noch Millionen Android-Geräte von Heartbleed betroffen. Genauer alle Geräte mit Android 4.1.1, da dies die einzige betroffene Version war. Hier zeigt sich der größte Nachteil der bisherigen Update-Politik der Hersteller, da diese nicht einmal bei einer derart schwerwiegenden Sicherheitslücke reagieren und diese stopfen. Aber nicht nur die Hersteller von Android-Geräten nehmen die Bedrohung nicht ernst, auch eine große Anzahl von Nutzern und Administratoren hat bisher gar nicht auf Heartbleed reagiert. Robert David Graham, Gründer von Errata Security erklärte gegenüber The Verge, dass bisher erst ungefähr die Hälfte der Heartbleed-Schäden behoben sind und wir noch über Jahre Heartbleed-Hacks erleben werden. Keine guten Aussichten also.
Quelle: Luis Grangeia (via The Verge)
