NSA dementiert Ausnutzung von „Heartbleed“-Lücke

Die US-Regierung hat einen Medienbericht dementiert, wonach der Geheimdienst NSA die jüngst öffentlich gewordene Sicherheitslücke in der Verschlüsselungssoftware OpenSSL seit langem gekannt und ausgenutzt habe.

Regierungsbehörden hätten erst im April mit dem Bericht von IT-Sicherheitsexperten von der „Heartbleed“-Schwachstelle erfahren, sagte die Sprecherin des Nationalen Sicherheitsrates, Caitlin Hayden, gestern. „Die NSA wusste nichts von der kürzlich aufgedeckten Anfälligkeit der Verschlüsselungssoftware OpenSSL, bis diese (vor wenigen Tagen) öffentlich gemacht wurde“, sagte auch NSA-Sprecherin Vanee Vines.

Kennt NSA noch mehr Schwachstellen?

Zuvor hatte die Finanznachrichtenagentur Bloomberg unter Berufung auf zwei informierte Personen geschrieben, die Lücke sei der NSA seit „mindestens zwei Jahren“ bekanntgewesen und von ihr rege genutzt worden. Demnach soll die NSA auch von Tausenden anderen Schwachstellen Bescheid wissen und diese aktiv für sich nutzen.

Die erst diese Woche öffentlich gewordene Schwachstelle, die auf den Namen „Heartbleed“ getauft wurde, sorgt dafür, dass Angreifer vermeintlich geschützte Daten abgreifen können.

Auch Apps betroffen

Unterdessen warnt der Virenschutzanbieter Trend Micro, dass auch Apps aus Googles Play Store mit angreifbaren Servern verbunden seien. Unter den 1.300 betroffenen Anwendungen sollen sich auch „15 Banking-Apps, 39 Apps für Onlinebezahlvorgänge sowie weitere zehn, die mit Onlineeinkäufen zu tun haben“ befinden.

Google selbst gab an, dass eine bestimmte Android-Version (4.1.1) von 2012 möglicherweise von „Heartbleed“ betroffen sein könnte, so Bloomberg weiter. Apple erklärte, dass seine Systeme von der Sicherheitslücke nicht betroffen sein sollen