BlackBerry hat die Sicherheitslücke Freak mit einem ersten Patch geschlossen. Die Schwachstelle ermöglicht das Abfangen und Abhören von verschlüsselten Internetverbindungen. Zunächst steht das Update nach Angaben eines Unternehmenssprechers nur für das Smartphone Z30 mit BlackBerry OS 10.3.1 bereit. Der kanadische Konzern hat bislang keinen Zeitplan veröffentlicht, wann die restlichen Geräten den Fix erhalten.
Erst knapp zwei Wochen nach Bekanntwerden der Freak-Lücke hat BlackBerry eine Sicherheitswarnung veröffentlicht. Der Name Freak ist eine Abkürzung für “Factoring Attack on RSA-Export Keys”. Dies bezieht sich auf eine Richtlinie der US-Regierung, die früher den Export starker Verschlüsselungstechnologien verbot und “schwächere” Export-Produkte für Kunden in anderen Ländern vorschrieb.
Die Freak-Lücke betrifft nicht nur aktuelle Smartphones mit BlackBerry OS 10, sondern auch Geräte mit BlackBerry OS 7.1 sowie Blackberry Enterprise Service 12 und früher. Die Verschlüsselung des BlackBerry Messenger kann auch unter Android, iOS und Windows Phone ausgehebelt werden. Damit sind fast alle Produkte, die das Unternehmen derzeit im Angebot hat, anfällig.
Damit ein Angreifer die Freak-Lücke in BlackBerry Enterprise Service ausnutzen kann, müsse er zunächst das Intranet eines Nutzers kompromittieren, erklärt der kanadische Konzern. Außerdem seien Geräte, die Inhalte mit PGP oder S/MIME verschlüsselten, bevor sie sie per SSL verschickten, auch ohne Update geschützt.
“Weitere Untersuchungen zu betroffenen Produkten dauern an”, heißt es weiter in dem Advisory. Blackberry prüfe den vollen Umfang des Problems und arbeite an einer Lösung zum Schutz seiner Kunden. “Sobald Fixes zur Verfügung stehen, wird diese Warnung aktualisiert.”
Neben BlackBerry betrifft die Freak-Lücke weiterhin Windows Phone und alle Android-Versionen vor 5.0. Apple hat das Loch inzwischen in iOS und OS X gestopft. Microsoft und Google verteilen zudem seit letzter Woche Patches für Windows beziehungsweise die WebView-Komponente von Android 5.0.
[mit Material von Stefan Beiersmann, ZDNet.de]
Land Niedersachsen schließt datenschutzrechtliche Vereinbarung mit Microsoft zur Nutzung von Teams ab.
Ein Großteil der Inventurdifferenzen im deutschen Einzelhandel wird durch Ladendiebstähle verursacht.
DDoS-Angriffe haben seit dem Beginn des Krieges zwischen Russland und der Ukraine an Häufigkeit und…
Lieferkettenplanung in Deutschland auf Basis von Excel bei 37 Prozent der befragten Unternehmen im Einsatz.
Bedienpersonal von Fertigungsanalagen soll mögliche Risiken auch ohne Cybersecurity-Fachwissen erkennen und minimieren können.
Schiffl IT: Anomalien im Netzwerkverkehr und in den Systemen in Echtzeit identifizieren.