Blackberry arbeitet an Heartbleed-Bugfixes

Blackberry hat Updates für seine Dienste Secure Work Space und Blackberry Messenger für Android sowie iOS angekündigt, weil sie von der OpenSSL-Lücke Heartbleed betroffen sind. Die Apps sollen bis Freitag dieser Woche mit Aktualisierungen versorgt werden. Gegenüber Reuters erklärte Senior Vice President Scott Totzke am Wochenende auch, dass die Mehrzahl der Blackberry-Produkte keine Heartbleed-Lücke aufweise.

Nach seiner Darstellung ist es Angreifern theoretisch möglich, über eine Wi-Fi-Verbindung oder ein Mobilfunknetz unautorisiert auf diese beiden Dienste zuzugreifen. Das Risiko sei sehr gering. Damit Hacker Daten auslesen könnten, müssten verschiedene Blackberry-Sicherheitstechnologien umgangen werden. „Es ist eine sehr komplexe Attacke, die innerhalb eines kleinen Zeitfensters durchgeführt werden muss“, sagt Totzke. Anwender könnten die Apps bis zum Update am Freitag beruhigt weiter nutzen.

Die Heartbleed-Lücke in OpenSSL betrifft vor allem, aber nicht nur Server. „Anfangs galt die meiste Konzentration Servern, und Server sind definitiv dem größten Risiko ausgesetzt – nicht nur Webserver, sondern Mailserver und viele andere nützliche Dinge. Alles, was eine angreifbare Version von OpenSSL nutzt, ist anfällig, egal ob Client oder Server“, sagte Chief Technology Officer Johannes Ullrich vom Internet Storm Centre (ISC) des SANS Institute am Wochenende. Diese Einrichtung führt eine Liste betroffener Client-Anwendungen.

Von den verbreiteten Betriebssystemen setzt nur Android eine anfällige Version von OpenSSL ein. Wie Ohad Bobrov, VP Research and Development, bei dem Mobil-Sicherheitsspezialisten Lacoon Mobile Security in einem Blogbeitrag erklärt, scheinen neben Android 4.1.1 auch einige Unternehmenslösungen wie Mobile Device Management (MDM), Firewalls oder andere Sicherungstechnologien von dem Problem betroffen, weil diese Lösungen auf OpenSSL-Technologien setzen. Diese Lecks würden derzeit aber offenbar noch nicht von Hackern ausgenutzt. In seinem Blog gibt es auch eine Möglichkeit, zu testen, ob ein Client von der OpenSSL-Lücke betroffen ist.

Indessen hat Akamai eingestanden, dass sein vermeintlicher Heartbleed-Bugfix nicht vollständig war. Das Unternehmen, über dessen System fast ein Drittel des Internetverkehrs läuft, behob mit einer Korrektur vom Freitag nur die Hälfte des Problems. Am Sonntag schrieb Chief Security Officer Andy Ellis: „Kurz gesagt, wir haben einen Bug eingeführt. Ein RSA-Schlüssel hat sechs kritische Werte. Unser Code versuchte nur, drei Teile dieses geheimen Schlüssels zu schützen, ließ die anderen drei aber ungeschützt.“

[mit Material von Martin Schindler, silicon.de]

Tipp: Was wissen Sie über Blackberry? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago