Peinliches Loch in BlackBerrys Geschäftsdaten-Tresor
Beim BlackBerry 10 versagt eine Policy, die geschäftliche Kontakte vor Zugriffen durch persönliche Apps schützen soll. Die Schwachstelle macht persönlichen Android-Apps Namen und Telefonnummern zugänglich.
Frank Büttner von der ABS Team GmbH staunte nicht schlecht, als seine besonders geschützten, geschäftlichen Kontakte in der Contacts App des Go Launcher EX auftauchten. Büttner hatte den Launcher auf seinem Smartphone mit BlackBerry 10.2.1 installiert, der auch Android-Apps ausführen kann. Auch die Skype Beta, ebenfalls eine Android-Anwendung, zeigte Namen und Telefonnummern an. Das hätte nicht sein dürfen, da Büttner über eine Policy eingestellt hatte, dass nur die BlackBerry-eigenen Apps Zugriff auf geschäftliche Kontakte haben sollten.
BlackBerry 10 ermöglicht die Einrichtung eines geschützten Bereichs für geschäftliche Apps und Daten, die mit AES256 verschlüsselt abgelegt werden. Diese Abschottung für geschäftliche Kontakte hat einen erheblichen Nachteil: geht ein Anruf ein, wenn dieser Corporate Workspace geschlossen ist, dann kann das Telefon unter Umständen nicht den Namen des Anrufers anzeigen. Deshalb gibt es einen beschränkten Zugriff auf die Kontakte, bei der Namen, Telefonnummern und die für BBM notwendige PIN außerhalb des Workspaces verfügbar gemacht werden. Dieser Zugriff kann im BlackBerry Enterprise Service 10 über eine Policy gesteuert werden (Personal Apps Access to Work Contacts). Es gibt dabei drei Zustände: All, Only BlackBerry Apps und None. All ist die Standardeinstellung.
Diese Policy versagt in BlackBerry 10.2.1, präziser 10.2.1.537. Die für das Ausführen der Android-Apps verantwortliche Laufzeitumgebung hat Zugriff auf diese Adressdaten, egal was in der Policy eingestellt ist. Und sie vererbt diese Rechte offenbar an alle Android-Apps. Das ist insofern besonders pikant, als BlackBerry aus Sicherheitsgründen keine Android-Apps in der sicheren Umgebung zulässt. Dort laufen nur native Apps.
Die Schwachstelle ist bei BlackBerry bekannt und bereits gefixt. heise Security erhielt heute folgende offizielle Stellungnahme des Herstellers: "We have investigated an issue in the Android player involving specific app permissions, and we have addressed it in our latest software builds. We will work with our carrier partners to help ensure the update is available to customers." Laut BlackBerry obliegt es nun also den Carriern, diese Lücke zu schließen. (vowe)
