Angesichts der seit vergangenen Montag über die InternetnutzerInnen hereinbrechenden Flut an Warnungen vor den Auswirkungen von Heartbleed, ging ein Aspekt der kritischen OpenSSL-Sicherheitslücke ein stückweit unter. Und zwar einer, der noch langfristig Ungemach bedeuten könnte. Neben Servern sind nämlich auch Client-Systeme durch den Programmierfehler gefährdet.

Weit gestreut

Und während in den letzten Tagen weltweit SystemadminstratorInnen Überstunden geschoben haben, um die Gefährdung durch Heartbleed auf ihren Servern zu beseitigen, wird es bei  Clientsystemen bei weitem nicht so flott gehen. Findet OpenSSL doch seinen Einsatz nicht nur in klassischen Desktoprechnern sondern auch bei einer Fülle von mobilen und Embedded-Systemen - vom Smartphone bis zu SmartTVs und Fahrzeuginformationssystemen.

Android 4.1.1

Welche davon konkret betroffen sind, ist derzeit noch weitgehend unklar. Mit einer Ausnahme: Wie vor wenigen Tagen bekannt wurde, zählt zu den betroffenen Systemen auch eine Androidversion: Das bereits beinahe zwei Jahre alte Android 4.1.1. Mit diesem war Google auf jene OpenSSL-1.0.1-Reihe gewechselt, mit der die Heartbleed-Lücke eingeschleppt wurde. Mit Android 4.1.2 wurde dann die Heartbeat-Erweiterung, die den Bug beherbergt, in Googles mobilem Betriebssystem wieder deaktiviert, wodurch kommende Versionen nicht mehr verwundbar sind.

Updateproblematik

Damit könnte die Angelegenheit eigentlich auch schon wieder erledigt sein - wäre da nicht das leidige Updateproblem von Android. Aufgrund mangelnder Softwareaktualisierungen durch die Hersteller hängen viele Geräte auf veralteten Betriebssystemversionen fest. Laut den aktuellen Zahlen von Google selbst sind es derzeit satte 34,4 Prozent aller Android-User die noch Android 4.1 einsetzen. Selbst wenn man einberechnet, dass wohl der allergrößte Teil davon Android 4.1.2 nutzt - da viele Geräte im Weihnachtsgeschäft 2012 mit dieser Version ausgeliefert wurden - bleiben angesichts der massenhaften Verbreitung von Android noch immer viele Millionen betroffene Geräte.

Quantifizierung

Laut den ersten Rückmeldungen, die der Sicherheitsdienstleister Lookout über seine Heartbleed-Detector-App bekommen hat, sollen denn auch rund 5 Prozent aller getesteten Androidgeräte die Lücke aufweisen. Eine zugegebenermaßen ungenaue Zahl, die aber jedenfalls in einer zweistelligen Millionenzahl von betroffenen NutzerInnen resultieren dürfte.

Eine Lösung muss her

Insofern verdeutlicht die Lücke vor allem eines: Google muss gemeinsam mit den Herstellern eine Lösung für das Updateproblem von Android finden. Nicht so sehr, weil die NutzerInnen sonst neue Features versäumen könnten sondern vor allem aus einer Sicherheitsperspektive. Zwar hat Google gleich nach Bekanntwerden der Lücke mit den Herstellern und Netzbetreibern Kontakt aufgenommen, um diese zur Auslieferung eines Updates mit einem bereitgestellten Patch zu bringen. Angesichts früherer Erfahrungen, dürfen allerdings Zweifel angemeldet werden, dass man damit auch tatsächlich bei allen Erfolg haben wird.

Modular

Offen bleibt, wie solch eine Lösung aussehen könnte. Eine Variante wäre, dass Google Android noch weiter modularisiert, und selbst die Kontrolle über das Kernsystem übernimmt. Dieses könnte dann getrennt aktualisiert werden - eventuell sogar von Google selbst, während die Dritthersteller ihre Modifikationen per Play Store oder eigenen Updatekanälen auf dem Laufenden halten.

Hindernisse

Alleine schon aufgrund der freien Verfügbarkeit des Android-Source-Codes könnte Google solch eine grundlegende Änderung natürlich unmöglich allen aufzwingen. Zumindest bei all jenen, die auch den Play Store ausliefern wollen, hat man aber ein nicht zu unterschätzendes Druckmittel in der Hand, wie sich schon in der Vergangenheit gezeigt hat. Darüberhinaus hätte Google natürlich schlicht auch die verbesserte Sicherheit als Argument auf seiner Seite.

Erste Anzeichen

Dass es nach und nach zumindest in eine ähnliche Richtung gehen könnte, zeichnet sich ohnehin bereits seit einiger Zeit ab. So aktualisieren diverse Hersteller - zuletzt etwa HTC - immer mehr Teile ihrer Android-Anpassungen über den Play Store, während sie auf der anderen Seite auch "Google Play Editions" ihrer Topgeräte ausliefern, die fast ohne Androidmodifikationen auskommen.

Die nächste Lücke kommt bestimmt

Angemerkt seit, dass derzeit noch nicht vollständig klar ist, wie praktikabel Angriffe über die Heartbleed-Lücke auf Androidgeräte tatsächlich sind. Insofern könnten Google und die Hersteller im konkreten Fall noch einmal mit dem sprichwörtlichen blauen Auge davonkommen. Doch selbst wenn dies geschieht - die nächste kritische Sicherheitslücke kommt bestimmt. Und mit etwas Pech ist es dann eine, die von außen zur Übernahme von Smartphones und Tablets genutzt werden kann. Bleibt zu hoffen, dass alle Beteiligten bis dorthin gemeinsam eine Lösung für die Updateproblematik gefunden haben. (Andreas Proschofsky, derStandard.at, 14.4.2014)