Er zijn nog ruim duizend Android-apps op Google Play die kwetsbaar voor de Heartbleed-bug in OpenSSL zijn. Dat stelt het Amerikaanse beveiligingsbedrijf FireEye. Via de bug kan een aanvaller vertrouwelijke informatie uit het geheugen van webservers halen.

Het omgekeerde scenario is echter ook mogelijk. Een kwaadaardige server kan namelijk het Heartbleed-signaal naar kwetsbare clients sturen en zo gevoelige informatie stelen. FireEye analyseerde meer dan 54.000 Android-apps op Google Play en ontdekte begin april ruim 2.000 apps die de kwetsbare versie van OpenSSL gebruikten.

Zelfs als het Android-platform niet kwetsbaar is, kunnen aanvallers nog steeds deze kwetsbare apps aanvallen. Zo is het mogelijk om het netwerkverkeer te kapen en de app met een kwaadaardige server verbinding te laten maken en vervolgens het Heartbleed-signaal naar de app te sturen en zo de inhoud van het geheugen te stelen.

De kwetsbare apps zouden bij elkaar zo'n 220 miljoen keer zijn gedownload. Een aantal van de getroffen app-ontwikkelaars werd door FireEye ingelicht, waarna er updates zijn verschenen. Dit zorgde ervoor dat het aantal kwetsbare apps naar 1500 afnam. Aangezien het om een kleine steekproef van het totaal aantal Android-apps gaat bestaat de mogelijkheid dat het probleem bij veel meer apps speelt.