BlackBerry hat die Sicherheitslücke Freak mit einem ersten Patch geschlossen. Die Schwachstelle ermöglicht das Abfangen und Abhören von verschlüsselten Internetverbindungen. Zunächst steht das Update nach Angaben eines Unternehmenssprechers nur für das Smartphone Z30 mit BlackBerry OS 10.3.1 bereit. Der kanadische Konzern hat bislang keinen Zeitplan veröffentlicht, wann die restlichen Geräten den Fix erhalten.
Erst knapp zwei Wochen nach Bekanntwerden der Freak-Lücke hat BlackBerry eine Sicherheitswarnung veröffentlicht. Der Name Freak ist eine Abkürzung für “Factoring Attack on RSA-Export Keys”. Dies bezieht sich auf eine Richtlinie der US-Regierung, die früher den Export starker Verschlüsselungstechnologien verbot und “schwächere” Export-Produkte für Kunden in anderen Ländern vorschrieb.
Die Freak-Lücke betrifft nicht nur aktuelle Smartphones mit BlackBerry OS 10, sondern auch Geräte mit BlackBerry OS 7.1 sowie Blackberry Enterprise Service 12 und früher. Die Verschlüsselung des BlackBerry Messenger kann auch unter Android, iOS und Windows Phone ausgehebelt werden. Damit sind fast alle Produkte, die das Unternehmen derzeit im Angebot hat, anfällig.
Damit ein Angreifer die Freak-Lücke in BlackBerry Enterprise Service ausnutzen kann, müsse er zunächst das Intranet eines Nutzers kompromittieren, erklärt der kanadische Konzern. Außerdem seien Geräte, die Inhalte mit PGP oder S/MIME verschlüsselten, bevor sie sie per SSL verschickten, auch ohne Update geschützt.
“Weitere Untersuchungen zu betroffenen Produkten dauern an”, heißt es weiter in dem Advisory. Blackberry prüfe den vollen Umfang des Problems und arbeite an einer Lösung zum Schutz seiner Kunden. “Sobald Fixes zur Verfügung stehen, wird diese Warnung aktualisiert.”
Neben BlackBerry betrifft die Freak-Lücke weiterhin Windows Phone und alle Android-Versionen vor 5.0. Apple hat das Loch inzwischen in iOS und OS X gestopft. Microsoft und Google verteilen zudem seit letzter Woche Patches für Windows beziehungsweise die WebView-Komponente von Android 5.0.
[mit Material von Stefan Beiersmann, ZDNet.de]
"Das Grundprinzip der Zero Trust Architektur hat sich bis heute nicht geändert, ist aber relevanter…
Androxgh0st zielt auf Windows-, Mac- und Linux-Plattformen ab und breitet sich rasant aus. In Deutschland…
Mit autonomen Pentests aus der Cloud lassen sich eigene Schwachstelle identifizieren.
Die Drogeriekette Rossmann wird ihr neues Zentrallager in Ungarn mit Software von PSI steuern.
Automobilhersteller planen, Quantentechnologie zunehmend auch bei fortschrittlichen Fahrerassistenzsystemen (ADAS) einzusetzen.
Blue Yonder soll mehr Nachhaltigkeit entlang der Lieferkette der internationale Brauerei ermöglichen.