Heartbleed: Auch BlackBerry betroffen
Das Sicherheitsleck Heartbleed weitet sich immer weiter aus. Nun muss auch der kanadische Smartphone-Hersteller BlackBerry einige Dienste entsprechend aktualisieren.
BlackBerry wird die Dienste Secure Work Space und BlackBerry Messenger für Android und iOS aktualisieren. Grund dafür ist die OpenSSL-Lücke Heartbleed, von der vor allem Web-Server betroffen sind. Die Updates für Android und iOS sollen demnach für Freitag geplant sein.
Gegenüber Reuters erklärte Senior Vice President Scott Totzke, am Wochenende, dass die Mehrzahl der BlackBerry-Produkte nicht von dem Leck betroffen seien.
Jedoch sei es Angreifern offenbar möglich über eine WiFi-Verbindung oder ein Mobilfunknetz unautorisiert auf diese beiden Dienste zuzugreifen.
Totzke betonte jedoch, dass das Risiko hier sehr gering sei. Damit Hacker Daten auslesen könnten, müssten verschiedene BlackBerry-Sicherheits-Technologien umgangen werden. “Es ist eine sehr komplexe Attacke, die innerhalb eines kleinen Zeitfensters durchgeführt werden muss”, versichert Totzke. Daher sei es auch nach wie vor für Anwender sicher, die Apps bis zum Update am Freitag weiter zu nutzen.
Zunächst wurden vor allem Betreiber von Web-Seiten vor dem vor rund einer Woche bekannt gewordenen Bug in der Open-Source-Software OpenSSL gewarnt. Inzwischen scheint sich aber abzuzeichnen, dass auch mobile Technologien von diesen weit verbreiteten Sicherheitsleck betroffen sein können.
Wie Ohad Bobrov, VP Research and Development, bei dem Mobil-Sicherheitsspezialisten Lacoon Mobile Security in einem Blog erklärt, scheinen neben dem Betriebssystem Android 4.1.1 auch einige Unternehmenslösungen wie Mobile Device Management (MDM), Firewalls oder andere Sicherungs-Technologien von dem Problem betroffen, weil diese Lösungen auf OpenSSL-Technologien setzen.
Allerdings scheinen diese Lecks derzeit in Hackerkreisen noch nicht aktiv ausgenutzt zu werden, daher haben die Hersteller noch einen kleinen zeitlichen Vorsprung, um die entsprechenden Lecks zu beheben. In dem Blog gibt es auch eine Möglichkeit, zu testen, ob ein Gerät von der OpenSSL-Lücke betroffen ist.