Blackphone analysiert Sicherheit von Blackberry Messenger

Die Sicherheitsdiskussion zwischen Blackberry und Blackphone setzt sich fort. Dan Ford, der Chief Security Officer von Blackphone-Software-Hersteller SGP Technologies, hat jetzt in einem Blogbeitrag die Sicherheit von Blackberry Messenger (BBM) unter die Lupe genommen und mit dem eigenen Angebot Silent Text verglichen.

BBM speichert Nachrichten und Nutzernummern lokal im Klartext (Screenshot: SGP Technologies)

Eingangs erwähnt Ford, er habe BBM vermisst, als er damals auf ein iPhone gewechselt sei. In seinem ersten Test – Angriffen auf die Transport Layer Security mit ITM, SSL Proxy und SSL Strip – bewährte sich die Blackberry-Lösung. Sie stellte sogar den Versand von Nachrichten ein, nachdem sie die Angriffe registriert hatte.

Darauf folgen aber zwei Kritikpunkte Fords. Erstens scheine BBM nicht in der Lage, vor Start der Anwendung ein Passwort hinzuzufügen. Somit kommuniziere sie zunächst auch nicht verschlüsselt. Lokal würden Nachrichten außerdem im Klartext in einer SQLite-Datenbank gespeichert. Da die verwendeten Identifikationsnummern für Korrespondenten immer gleich seien, lasse sich dort sogar ermitteln, von wem welche Nachricht stamme.

Problematisch erscheint Ford auch ein dritter Punkt: BBM durchsuche das lokale Adressbuch nach Anwendern, die BBM nutzen. (Diese den Einstieg erleichternde Funktion nennt sich „Freunde finden„.) Wenn dies der Fall sei, ergänze BBM die Kontakteinträge um seine PINs. Über diese PINs jedoch – eine einmalige Kennung, ähnlich der bei Apple immer weniger benutzten UDID – identifiziere Blackberry seine Nutzer. Sie könnte daher aber auch von anderen für Tracking und Überwachung eingesetzt werden.

Anschließend beschäftigt sich Ford in seinem Beitrag mit Silent Text. Mit MITM, SSL Proxy oder SSL Strip ist es ebenso wenig zu knacken wie BBM, in zwei Fällen verweigert es sogar den Start. Etwas besser schneide Silent Text zudem ab, was die Datenbank anbelange, die auch mit lokalem Zugriff nicht auf Anhieb auszulesen sei, heißt es.

Abschließend weist der CSO von SGP Technologies darauf hin, dass der Quelltext seiner Programme verfügbar sei, sodass sich jeder ein Bild machen könne. Dass es sich bei Blackberry um Closed Source handelt, erwähnt er nicht extra. Er schließt mit dem Hinweis, hundertprozentige Sicherheit könne es nicht geben, auch wenn SGP mit Leviathan eine externe Firma mit Tests beauftragt habe.

Die Auseinandersetzung hatte vor zwei Wochen mit einem Angriff von Blackberry begonnen, das dem Blackphone „Sicherung der Privatsphäre auf Heimanwender-Niveau“ unterstellte. Blackberry-Manager Joe McGarvey behauptete auch, das Blackphone sei nur der jüngste Spross einer „Heimwerker-Industrie für sichere Kommunikationsprodukte, die sich an Heimanwender wenden.“ Diese sei in der Folge von Edward Snowdens Enthüllungen entstanden. McGarvey sprach dem Blackphone damit natürlich vor allem Unternehmenstauglichkeit ab. Das „angeblich sichere“ Blackphone lasse sich nicht durch die IT-Abteilung kontrollieren.

Eine Antwort gab kurze Zeit später Toby Weir-Jones, der CEO von SGP Technologies: Er schrieb, das Blackphone sei unternehmenstauglicher als die Blackberry-Plattform, die nur durch Firmen am Leben gehalten werde, die zu unflexibel für einen Wechsel seien. „Die Welt hat 2010 erfahren, dass RIM bereit war, seine Integrität zu opfern, wenn Regierungen nur ausreichend Druck ausübten, um die Nachrichten der damals weit verbreiteten Geräte auszuspionieren. Diverse Erklärungen der Telekom-Regulierungsbehörden in Saudi-Arabien, den Vereinigten Arabischen Emiraten und Indiens bestätigen letztlich: RIM hat es möglich gemacht, die zuvor geheimen verschlüsselten Nachrichten zu entschlüsseln und einzusehen.“

Mit dem jetzigen Beitrag von SGP-CSO Dan Ford gestaltet SGP die Diskussion wieder etwas sachlicher. Zugleich hebt es hervor, dass es sich auf Augenhöhe mit dem Traditionsunternehmen aus Kanada sieht.

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago