Blackberry veröffentlicht ersten Patch für Freak-Lücke [Update]

Blackberry hat einen ersten Patch veröffentlicht, der die als Freak bezeichnete Sicherheitslücke schließen soll, die ein Abfangen und Abhören von verschlüsselten Internetverbindungen erlaubt. Nach Angaben eines Unternehmenssprechers steht er bisher allerdings nur für das Smartphone Z30 mit Blackberry OS 10.3.1 zur Verfügung. Wann andere Geräte des kanadischen Herstellers den Fix erhalten, ist bisher nicht bekannt.

Seine Sicherheitswarnung hat Blackberry erst knapp zwei Wochen nach Bekanntwerden der Freak-Lücke veröffentlicht. Der Name steht für „Factoring Attack on RSA-Export Keys“ und bezieht sich auf eine Richtlinie der US-Regierung, die früher den Export starker Verschlüsselungstechnologien verbot und “schwächere” Export-Produkte für Kunden in anderen Ländern vorschrieb.

Davon betroffen sind nicht nur neuere Blackberry-Smartphones mit Blackberry OS 10, sondern auch Blackberry-7.1-Geräte und Blackberry Enterprise Service 12 und früher. Auch bei Blackberry Messenger unter Android, iOS und Windows Phone lässt sich die Verschlüsselung aushebeln. Damit sind fast alle Produkte, die das Unternehmen derzeit im Angebot hat, anfällig.

Blackberry weist allerdings darauf hin, dass im Fall von Blackberry Enterprise Service ein Angreifer zuerst das Intranet eines Nutzers kompromittieren müsse, bevor er die Freak-Lücke ausnutzen könne. Außerdem seien Geräte, die Inhalte mit PGP oder S/MIME verschlüsselten, bevor sie sie per SSL verschickten, auch ohne Update geschützt.

„Weitere Untersuchungen zu betroffenen Produkten dauern an“, heißt es weiter in dem Advisory. Blackberry prüfe den vollen Umfang des Problems und arbeite an einer Lösung zum Schutz seiner Kunden. „Sobald Fixes zur Verfügung stehen, wird diese Warnung aktualisiert.“

Neben Blackberry sind aber auch Windows Phone und auch alle Android-Versionen vor 5.0 weiterhin anfällig für die Freak-Lücke. Apple hat das Loch inzwischen in iOS und OS X gestopft. Microsoft und Google verteilen zudem seit letzter Woche Patches für Windows beziehungsweise die WebView-Komponente von Android 5.0.

[UPDATE 17.3.2015]

Inzwischen steht der 114 MByte große Patch auch für deutsche Nutzer des Blackberry Z30 zur Verfügung. Er aktualisiert Blackberry 10 OS auf Version 10.3.1.1179. Nach einem Neustart des Geräts, der wegen der Aktualisierung mehrere Minuten in Anspruch nimmt, ist das Smartphone nicht mehr anfällig für die Freak-Schwachstelle. Der integrierte Browser trägt jetzt die Versionsnummer 10.3.1.2576.

[mit Material von Zack Whittaker, ZDNet.com]

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Dezember-Patchday: Google stopft schwerwiegende Löcher in Android

Mindestens eine Anfälligkeit erlaubt eine Remotecodeausführung. Angreifbar sind alle unterstützten Versionen von Android.

5 Stunden ago

Warum ein überlasteter IT-Service Unternehmen schadet

Ein einziges IT-Problem kann ein gesamtes Unternehmen zum Stillstand bringen. Insbesondere sicherheitsrelevante Vorfälle bedrohen dabei…

6 Stunden ago

Cyberkriminelle nutzen beschädigte Word-Dateien für Phishing-Angriffe

Viele Sicherheitsanwendungen erkennen die absichtlich beschädigte Dokumente nicht als gefährliche Dateien. Die Hintermänner haben es…

9 Stunden ago

So viele digitale Endgeräte haben Kinder wirklich

Ab einem Alter von 10 Jahren haben die meisten ein eigenes Smartphone. Hälfte zwischen 6…

1 Tag ago

Flüssigkeitsgekühlte High-Performance-Cluster

Energieeffiziente flüssigkeitsgekühlte Rechenzentren bringen wissenschaftlichen Fortschritt in Biowissenschaften und Medizin voran.

1 Tag ago

Intel-CEO Pat Gelsinger tritt zurück

Der Manager verlässt auch das Board of Directors. Während der Suche nach einem Nachfolger leiten…

1 Tag ago