Freak: BlackBerry schließt Sicherheitslücke

BlackBerry hat die Sicherheitslücke Freak mit einem ersten Patch geschlossen. Die Schwachstelle ermöglicht das Abfangen und Abhören von verschlüsselten Internetverbindungen. Zunächst steht das Update nach Angaben eines Unternehmenssprechers nur für das Smartphone Z30 mit BlackBerry OS 10.3.1 bereit. Der kanadische Konzern hat bislang keinen Zeitplan veröffentlicht, wann die restlichen Geräten den Fix erhalten.

Erst knapp zwei Wochen nach Bekanntwerden der Freak-Lücke hat BlackBerry eine Sicherheitswarnung veröffentlicht. Der Name Freak ist eine Abkürzung für “Factoring Attack on RSA-Export Keys”. Dies bezieht sich auf eine Richtlinie der US-Regierung, die früher den Export starker Verschlüsselungstechnologien verbot und “schwächere” Export-Produkte für Kunden in anderen Ländern vorschrieb.

Die Freak-Lücke betrifft nicht nur aktuelle Smartphones mit BlackBerry OS 10, sondern auch Geräte mit BlackBerry OS 7.1 sowie Blackberry Enterprise Service 12 und früher. Die Verschlüsselung des BlackBerry Messenger kann auch unter Android, iOS und Windows Phone ausgehebelt werden. Damit sind fast alle Produkte, die das Unternehmen derzeit im Angebot hat, anfällig.

Bislang erhält nur das BlackBerry Z30 einen Fix für die Freak-Lücke. (Bild: BlackBerry)

Damit ein Angreifer die Freak-Lücke in BlackBerry Enterprise Service ausnutzen kann, müsse er zunächst das Intranet eines Nutzers kompromittieren, erklärt der kanadische Konzern. Außerdem seien Geräte, die Inhalte mit PGP oder S/MIME verschlüsselten, bevor sie sie per SSL verschickten, auch ohne Update geschützt.

“Weitere Untersuchungen zu betroffenen Produkten dauern an”, heißt es weiter in dem Advisory. Blackberry prüfe den vollen Umfang des Problems und arbeite an einer Lösung zum Schutz seiner Kunden. “Sobald Fixes zur Verfügung stehen, wird diese Warnung aktualisiert.”

Neben BlackBerry betrifft die Freak-Lücke weiterhin Windows Phone und alle Android-Versionen vor 5.0. Apple hat das Loch inzwischen in iOS und OS X gestopft. Microsoft und Google verteilen zudem seit letzter Woche Patches für Windows beziehungsweise die WebView-Komponente von Android 5.0.

[mit Material von Stefan Beiersmann, ZDNet.de]

Andre Borbe

Andre ist Jahrgang 1983 und unterstützte von September 2013 bis September 2015 die Redaktion von silicon.de als Volontär. Erste Erfahrungen sammelte er als Werkstudent in den Redaktionen von GMX und web.de. Anschließend absolvierte er ein redaktionelles Praktikum bei Weka Media Publishing. Andre hat erfolgreich ein Studium in politischen Wissenschaften an der Hochschule für Politik in München abgeschlossen. Privat interessiert er sich für Sport, Filme und Computerspiele. Aber die größte Leidenschaft ist die Fotografie.

Recent Posts

Sophos: Automotive-Lieferant wird dreimal Opfer von Cybererpressern

Innerhalb von rund zwei Wochen kompromittieren die Gruppen LockBit, Hive und BlackCat das Netzwerk. Anscheinend…

4 Stunden ago

Deutsche Telekom bleibt auf Kurs

Konzernumsatz klettert zwischen April und Juni um fast sechs Prozent auf rund 28 Milliarden Euro.

5 Stunden ago

Cisco meldet Hackerangriff

Unbekannte dringen in das Netzwerk des Unternehmens ein. Zuvor hacken sie das Google-Konto eines Cisco-Mitarbeiters…

6 Stunden ago

Im Blindflug in Richtung Nachhaltigkeit

Eine Mehrheit der deutschen Unternehmen will klimaneutral werden. Aber wie? Für eine Antwort fehlen ihnen…

20 Stunden ago

Unternehmen unterschätzen Cyberrisiken durch vernetzte Partner und Lieferanten

Firmen stufen Sicherheitsrisiken ihrer Partner in digitalen Ökosystemen und Lieferketten als wenig besorgniserregend ein.

21 Stunden ago

Silicon DE im Fokus Podcast: Microsoft und der Mittelstand

Im Silicon DE Podcast erläutert Oliver Gürtler, Leiter des Mittelstandsgeschäfts bei Microsoft Deutschland, im Gespräch…

23 Stunden ago