Categories: CybersicherheitSicherheitsmanagement

Freak: BlackBerry schließt Sicherheitslücke

BlackBerry hat die Sicherheitslücke Freak mit einem ersten Patch geschlossen. Die Schwachstelle ermöglicht das Abfangen und Abhören von verschlüsselten Internetverbindungen. Zunächst steht das Update nach Angaben eines Unternehmenssprechers nur für das Smartphone Z30 mit BlackBerry OS 10.3.1 bereit. Der kanadische Konzern hat bislang keinen Zeitplan veröffentlicht, wann die restlichen Geräten den Fix erhalten.

Erst knapp zwei Wochen nach Bekanntwerden der Freak-Lücke hat BlackBerry eine Sicherheitswarnung veröffentlicht. Der Name Freak ist eine Abkürzung für “Factoring Attack on RSA-Export Keys”. Dies bezieht sich auf eine Richtlinie der US-Regierung, die früher den Export starker Verschlüsselungstechnologien verbot und “schwächere” Export-Produkte für Kunden in anderen Ländern vorschrieb.

Die Freak-Lücke betrifft nicht nur aktuelle Smartphones mit BlackBerry OS 10, sondern auch Geräte mit BlackBerry OS 7.1 sowie Blackberry Enterprise Service 12 und früher. Die Verschlüsselung des BlackBerry Messenger kann auch unter Android, iOS und Windows Phone ausgehebelt werden. Damit sind fast alle Produkte, die das Unternehmen derzeit im Angebot hat, anfällig.

Bislang erhält nur das BlackBerry Z30 einen Fix für die Freak-Lücke. (Bild: BlackBerry)

Damit ein Angreifer die Freak-Lücke in BlackBerry Enterprise Service ausnutzen kann, müsse er zunächst das Intranet eines Nutzers kompromittieren, erklärt der kanadische Konzern. Außerdem seien Geräte, die Inhalte mit PGP oder S/MIME verschlüsselten, bevor sie sie per SSL verschickten, auch ohne Update geschützt.

“Weitere Untersuchungen zu betroffenen Produkten dauern an”, heißt es weiter in dem Advisory. Blackberry prüfe den vollen Umfang des Problems und arbeite an einer Lösung zum Schutz seiner Kunden. “Sobald Fixes zur Verfügung stehen, wird diese Warnung aktualisiert.”

Neben BlackBerry betrifft die Freak-Lücke weiterhin Windows Phone und alle Android-Versionen vor 5.0. Apple hat das Loch inzwischen in iOS und OS X gestopft. Microsoft und Google verteilen zudem seit letzter Woche Patches für Windows beziehungsweise die WebView-Komponente von Android 5.0.

[mit Material von Stefan Beiersmann, ZDNet.de]

Lesen Sie auch : Cyberangriffe verstecken sich im verschlüsselten Datenverkehr

Andre Borbe

Andre ist Jahrgang 1983 und unterstützte von September 2013 bis September 2015 die Redaktion von silicon.de als Volontär. Erste Erfahrungen sammelte er als Werkstudent in den Redaktionen von GMX und web.de. Anschließend absolvierte er ein redaktionelles Praktikum bei Weka Media Publishing. Andre hat erfolgreich ein Studium in politischen Wissenschaften an der Hochschule für Politik in München abgeschlossen. Privat interessiert er sich für Sport, Filme und Computerspiele. Aber die größte Leidenschaft ist die Fotografie.