Kritische Schwachstelle in BlackBerry 10
Durch eine Schwachstelle in BlackBerry 10.0 lässt sich unter Umständen Zugriff auf das Z10 erlangen, ohne das Passwort zu kennen. Die Lücke wurde von Blackberry bereits beseitigt und betrifft nur ältere Versionen von BB10.
- vowe
BlackBerry hat ein Advisory veröffentlicht, das eine kritische Schwachstelle in BlackBerry 10 beschreibt. Davon betroffen sind Versionen die älter als 10.0.10.648 sind. Die Sicherheitslücke betrifft zudem nur das BlackBerry Z10, das Tastatur-Modell Q10 wurde bereits mit BlackBerry 10.1 ausgeliefert.
Der Exploit nutzt BlackBerry Protect, einen Service, mit dem man sein Gerät managen kann, ohne den BlackBerry Enterprise Service (BES) nutzen zu müssen. Protect kann wie BES verlorene Geräte wiederfinden, sperren oder löschen und das Kennwort zurücksetzen. Zudem kann es Daten sichern und wiederherstellen. Protect ist standardmäßig deaktiviert und muss vom Benutzer eingeschaltet werden.
Zusätzlich muss der Nutzer noch eine manipulierte App installieren, die dann eine Protect-Komponente nutzt, um einen Passwort-Reset abzufangen. Diesen muss der Benutzer, oder jemand, der BlackBerry-ID und Kennwort kennt, auf der Website von Blackberry Protect anstoßen. Mittels der manipulierten App lernt der Angreifer dann das neue Kennwort für das Gerät. Wenn er physischen Zugang zum Gerät hat, kann er sich dort wie der eigentliche Benutzer erfolgreich anmelden.
BlackBerry empfiehlt, die Gerätesoftware mindestens auf die Version 10.0.10.648 zu aktualisieren. Für Z10 und Q10 steht darüber hinaus bereits BlackBerry 10.1 zur Verfügung und wird durch die Provider OTA (over the air) als Update angeboten. (asp)
