WCM Forum

WCM Forum (http://www.wcm.at/forum/index.php)
-   Handy & Mobiltelefonie (http://www.wcm.at/forum/forumdisplay.php?f=74)
-   -   Kritische Schwachstelle in BlackBerry 10 (http://www.wcm.at/forum/showthread.php?t=246439)

Christoph 17.06.2013 20:01
Kritische Schwachstelle in BlackBerry 10
 
Zitat:
BlackBerry hat ein Advisory veröffentlicht, dass eine kritische Schwachstelle in BlackBerry 10 beschreibt. Davon betroffen sind Versionen die älter als 10.0.10.648 sind. Die Sicherheitslücke betrifft zudem nur das BlackBerry Z10, das Tastatur-Modell Q10 wurde bereits mit der BlackBerry 10.1 ausgeliefert.

Der Exploit nutzt BlackBerry Protect, einen Service, mit dem man sein Gerät managen kann, ohne die BlackBerry Enterprise Service (BES) nutzen zu müssen. Protect kann wie BES verlorene Geräte wiederfinden, sperren oder löschen und das Kennwort zurücksetzen. Zudem kann es Daten sichern und wiederherstellen. Protect ist standardmäßig deaktiviert und muss vom Benutzer eingeschaltet werden.

Zusätzlich muss der Nutzer noch eine manipulierte App installieren, die dann eine Protect-Komponente nutzt, um einen Passwort-Reset abzufangen. Diesen muss der Benutzer, oder jemand, der BlackBerry-ID und Kennwort kennt, auf der Website von Blackberry Protect anstoßen. Mittels der manipulierten App lernt der Angreifer dann das neue Kennwort für das Gerät. Wenn er physischen Zugang zum Gerät hat, kann er sich dort wie der eigentliche Benutzer erfolgreich anmelden.

BlackBerry empfiehlt, die Gerätesoftware mindestens auf die Version 10.0.10.648 zu aktualisieren. Für Z10 und Q10 steht darüber hinaus bereits BlackBerry 10.1 zur Verfügung und wird durch die Provider OTA (over the air) als Update angeboten. (vowe) / (asp)
Quelle: http://www.heise.de/newsticker/meldu...0-1891249.html

Christoph 18.07.2013 12:24
Zitat:
Wer seinen Mail-Account jemals mit einem aktuellen BlackBerry benutzt hat hat, sollte ernsthaft darüber nachdenken, sein Passwort zu ändern: Bei der Einrichtung eines Mail-Accounts schickt BlackBerry 10 die eingegebenen Zugangsdaten ungefragt an den Hersteller.

Der Sicherheitsexperte Marc Heuse hat heise Security kürzlich über eine interessante Beobachtung informiert: Wenn man unter BlackBerry 10 einen neuen Mail-Account konfiguriert, kommuniziert das Smartphone verschlüsselt mit dem Server discvoeryservice.blackberry.com. Verschafft man sich über einen Web-Analyse-Proxy wie Burp Einblick in die verschlüsselten Pakete, ist das Erstaunen groß: Nach Eingabe der Mail-Adresse wird diese sofort an BlackBerry übertragen und im nächsten Schritt folgt auch noch das Passwort. Parallel zu Marc Heuse ist offenbar Frank Rieger auf das Problem aufmerksam geworden; seine Erkenntnisse hat er in seinem Blog veröffentlicht.

Die Zugangsdaten werden zwar verschlüsselt über HTTPS übertragen, weshalb man sie ein Datenschnüffler auf dem Transportweg schwerlich mitlesen kann. BlackBerry kann sie jedoch sehr wohl entschlüsseln. Was dort mit den Zugangsdaten geschieht, darüber kann man nur spekulieren.

Angesichts der aktuellen Entwicklungen rund um PRISM dürfte die Tatsache, dass die Accountdaten und das Passwort ohne deutlich erkennbare Vorwarnung an ein US-Unternehmen weitergegeben werden, bei vielen Nutzern Bauchschmerzen verursachen. Wer auf Nummer sicher gehen will, sollte sein Passwort ändern. Das ist freilich nur dann effektiv, wenn man es anschließend nicht wieder in den Einrichtungsassistenten des BlackBerry einträgt.

BlackBerry ist traditionell vor allem im Business-Umfeld beliebt und dort kann man sich mit den Zugangsdaten zum Mailkonto allzu oft auch unter anderem ins VPN einwählen (Single-Sign-On). Angesichts der Datenweitergabe müssen Firmen den Einsatz der Geräte wohl neu bewerten.

BlackBerry hat sich bislang nicht zu dem Problem geäußert; eine Antwort auf unsere Presseanfrage steht noch aus.
Quelle: http://www.heise.de/newsticker/meldu...s-1919718.html

Christoph 18.07.2013 17:43
Zitat:
Update vom 18.7., 13:20: Inzwischen liegt uns eine erste Stellungnahme des Herstellers vor. Darin heißt es: Wir können derzeit zu den in den Medien erhobenen Vorwürfen mit Bezug auf die staatliche Überwachung von Telekommunikationsdaten keinen Kommentar abgeben. [...] In unseren öffentlichen Stellungnahmen und Prinzipien unterstreichen wir seit langem, dass es keine “Hintertür” zu dieser Plattform gibt. Zu dem eigentlichen Kern des Problems, nämlich der Übertragung der Zugangsdaten, hat sich BlackBerry bislang nicht geäußert.


Update vom 18.7., 14:45: Die Übertragung der Zugangsdaten kann man offenbar umgehen, indem man das Mail-Konto über den Button "Erweitert" einrichtet. Dieser wird standardmäßig allerdings von der Bildschirmtastatur verdeckt. Um ihn zu erreichen, muss man zunächst eine Stelle außerhalb des aktiven Texteingabefelds berühren.

Das Abschalten der Option "Diagnose- und Nutzungsdaten senden" hat indes keinen Einfluss auf die Übertragung der Zugangsdaten. Wird ein BlackBerry über einen BlackBerry Enterprise Server (BES) verwaltet, kommt der Konfigurationsassistent nicht zum Einsatz.
Quelle: http://www.heise.de/newsticker/meldu...s-1919718.html


Alle Zeitangaben in WEZ +2. Es ist jetzt 23:02 Uhr.

Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag