Download-Sicherheit: Blackberry muss App-Store nachbessern
Wegen fehlender Sicherung der Downloads aus Blackberry World, dem offiziellen App Store für alle Blackberry-10-Modelle, hätte ein Angreifer ganz leicht Schadsoftware auf die Geräte schmuggeln können.
Erst musste ein externer Sicherheitstester von den MWRLabs auf die schlampige Umsetzung hinweisen, damit Blackberry eine eigentlich selbstverständliche Sicherung für Downloads aus Blackberry World nachrüstet. Sowohl Installationen als auch Updates aus dem offiziellen App-Store für Blackberry 10 erfolgten bislang ungesichert im Klartext. So konnte ein Angreifer, der sich im Netz in einer Position in der Mitte befand, diese Downloads einfach manipulieren, um Schad-Software zu installieren. Diese hätte sich dem Anwender als ganz normale App präsentiert und deren komplette Rechte gehabt.
Die Downloads erfolgten via ungesichertem HTTP vom Server download.appworld.blackberry.com. Zwar sendete Blackberry SHA512-Prüfwerte mit (X-APPWORLD-SIG und X-APPWORLD-SIG-SHA512), die die App beim Empfang checkte. Doch ein Man-in-the-Middle hätte außer der geladenen App auch die Prüfwerte so ändern können, dass dieser Test wirkungslos verpufft.
Bereits im April wies Henry Hoggard von MWR Labs Blackberry auf das Problem hin. Erst jetzt – ein halbes Jahr später – bessert der Hersteller nach und sichert die Downloads über verschlüsselte und authentifizierte https-Verbindungen. Die benötigten Updates von Blackberry World werden automatisch über den Blackberry Hub an die betroffenen Geräte verteilt; alternativ können Anwender das Update auch über Blackberrys Mobilseiten beziehen.
Update 21.10., 19:00: Das Sicherheits-Advisory wurde zwar erst im Oktober veröffentlicht, Blackberry stellt die aktualisierten Versionen des Blackberry OS bereits seit Juli 2014 zum Download Verfügung. (ju)
