Blackberry gibt ersten Patch für Freak-Schwachstelle frei

Blackberry hat einen ersten Patch freigegeben, der die Freak genannte Schwachstelle schließen soll, welche ein Abfangen und Abhören von verschlüsselten Internetverbindungen ermöglicht. Angaben eines Unternehmenssprechers zufolge ist der Fix bislang aber nur für das Smartphone Z30 mit Blackberry OS 10.3.1 verfügbar. Wann weitere Geräte des kanadischen Anbieters den Fix erhalten, ist bis dato noch unklar. Außerdem scheint die Auslieferung der Sicherheitsaktualisierung an deutsche Nutzer noch nicht begonnen zu haben. Jedenfalls wird unter “Softwareaktualisierung” noch kein Patch zur Installation angeboten.

Blackberry hat seine Sicherheitswarnung erst knapp zwei Wochen nach Bekanntwerden der Freak-Lücke herausgegeben. Die Bezeichnung steht für “Factoring Attack on RSA-Export Keys” und bezieht sich auf eine frühere Richtlinie der US-Regierung, die den Export starker Verschlüsselungstechnologien untersagte und “schwächere” Export-Produkte für Kunden in anderen Ländern festlegte.
Von dieser Schwachstelle sind nicht nur neuere Blackberry-Smartphones mit Blackberry OS 10, sondern auch Blackberry-7.1-Geräte sowie Blackberry Enterprise Service 12 und früher betroffen. Auch bei Blackberry Messenger unter Android, iOS und Windows Phone lässt sich die Verschlüsselung umgehen. Somit sind nahezu alle durch das Unternehmen aktuell angebotenen Produkte anfällig.
Blackberry verweist jedoch darauf, dass im Fall von Blackberry Enterprise Service ein Angreifer zunächst das Intranet eines Anwenders kompromittieren müsse, bevor er schließlich die Freak-Lücke ausnutzen könne. Überdies seien Geräte, die Inhalte mit den Verschlüsselungstechnologien PGP oder S/MIME chiffrierten, bevor sie sie via SSL verschickten, auch ohne Patch geschützt.
“Weitere Untersuchungen zu betroffenen Produkten dauern an”, heißt es weiter in dem Advisory. Blackberry prüfe das volle Ausmaß des Problems und arbeite an einer Lösung zum Schutz seiner Kunden. “Sobald Fixes zur Verfügung stehen, wird diese Warnung aktualisiert.”
Außer Blackberry sind jedoch auch Windows Phone und ebenso alle Android-Varianten vor Version 5.0 weiterhin anfällig für die Freak-Schwachstelle. Apple hat die Lücke in iOS und OS X mittlerweile geschlossen. Microsoft und Google verteilen seit vergangener Woche darüber hinaus Patches für Windows respektive die WebView-Komponente von Android 5.0.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de