Blackberry arbeitet an Heartbleed-Bugfixes

Blackberry hat Updates für seine Dienste Secure Work Space und Blackberry Messenger für Android sowie iOS angekündigt, weil sie von der OpenSSL-Lücke Heartbleed betroffen sind. Die Apps sollen bis Freitag dieser Woche mit Aktualisierungen versorgt werden. Gegenüber Reuters erklärte Senior Vice President Scott Totzke am Wochenende auch, dass die Mehrzahl der Blackberry-Produkte keine Heartbleed-Lücke aufweise.

Nach seiner Darstellung ist es Angreifern theoretisch möglich, über eine Wi-Fi-Verbindung oder ein Mobilfunknetz unautorisiert auf diese beiden Dienste zuzugreifen. Das Risiko sei sehr gering. Damit Hacker Daten auslesen könnten, müssten verschiedene Blackberry-Sicherheitstechnologien umgangen werden. „Es ist eine sehr komplexe Attacke, die innerhalb eines kleinen Zeitfensters durchgeführt werden muss“, sagt Totzke. Anwender könnten die Apps bis zum Update am Freitag beruhigt weiter nutzen.

Die Heartbleed-Lücke in OpenSSL betrifft vor allem, aber nicht nur Server. „Anfangs galt die meiste Konzentration Servern, und Server sind definitiv dem größten Risiko ausgesetzt – nicht nur Webserver, sondern Mailserver und viele andere nützliche Dinge. Alles, was eine angreifbare Version von OpenSSL nutzt, ist anfällig, egal ob Client oder Server“, sagte Chief Technology Officer Johannes Ullrich vom Internet Storm Centre (ISC) des SANS Institute am Wochenende. Diese Einrichtung führt eine Liste betroffener Client-Anwendungen.

Von den verbreiteten Betriebssystemen setzt nur Android eine anfällige Version von OpenSSL ein. Wie Ohad Bobrov, VP Research and Development, bei dem Mobil-Sicherheitsspezialisten Lacoon Mobile Security in einem Blogbeitrag erklärt, scheinen neben Android 4.1.1 auch einige Unternehmenslösungen wie Mobile Device Management (MDM), Firewalls oder andere Sicherungstechnologien von dem Problem betroffen, weil diese Lösungen auf OpenSSL-Technologien setzen. Diese Lecks würden derzeit aber offenbar noch nicht von Hackern ausgenutzt. In seinem Blog gibt es auch eine Möglichkeit, zu testen, ob ein Client von der OpenSSL-Lücke betroffen ist.

Indessen hat Akamai eingestanden, dass sein vermeintlicher Heartbleed-Bugfix nicht vollständig war. Das Unternehmen, über dessen System fast ein Drittel des Internetverkehrs läuft, behob mit einer Korrektur vom Freitag nur die Hälfte des Problems. Am Sonntag schrieb Chief Security Officer Andy Ellis: „Kurz gesagt, wir haben einen Bug eingeführt. Ein RSA-Schlüssel hat sechs kritische Werte. Unser Code versuchte nur, drei Teile dieses geheimen Schlüssels zu schützen, ließ die anderen drei aber ungeschützt.“

[mit Material von Martin Schindler, silicon.de]

Tipp: Was wissen Sie über Blackberry? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.