Der Smartphone-Hersteller RIM warnt vor einer Sicherheitslücke. Mit manipulierten Attachements können Angreifer einen Blackberry-Server unter ihre Kontrolle bringen. Als erste Reaktion empfiehlt RIM, nur noch PDF-Dateien von vertrauenswürdigen Absendern zu öffnen.
Der Smartphone-Hersteller Research in Motion (RIM) hat Informationen über eine Sicherheitslücke in seinem Blackberry Enterprise Server und der Blackberry Professional Software veröffentlicht, welche die Nutzer dringend stopfen sollten. Das Risiko wird mit der Note 9,3 auf der zehnstufigen Skala des Common Vulnerability Scoring System (CVSS) bewertet. Durch einen Fehler in der Software können Angreifer einen Blackberry-Server mit präparierten PDF-Dateien unter ihre Kontrolle bringen. Dadurch bricht die durchgehende Absicherung der Blackberry-Daten zusammen, mit der RIM seine Produkte immer anpreist.
Keine PDF-Attachements von Unbekannten auf dem Blackberry Storm öffnen!
"Die Daten lassen sich erst auf dem Handheld des bestimmungsgemäßen Empfängers entschlüsseln", hatte Jens Kühner, Director Sales & Technical Services bei RIM im Interview mit Areamobile.de erklärt. "Alle privaten Keys für die Verschlüsselung werden jedem Benutzer individuell zugewiesen. Es existiert kein Masterkey und kein Mechanismen für Dritte, an den privaten Key heranzukommen - auch nicht für uns bei RIM." Kein Geheimdienst und keine Polizei kommt an diese Informationen heran, nur Computerkriminelle, wenn sie es richtig anstellen. Der Fehlerbericht von RIM meldet, dass die Sicherheitslücke im PDF-Distiller des Attachment-Dienstes offensteht.
Bei eingehenden E-Mails rechnet der Blackberry-Server die PDF-Attachements immer in ein neues Format um, damit sie sich schneller auf den RIM-Smartphones darstellen lassen. Der Fehler wird aber erst dann provoziert, wenn ein Anwender die manipulierte PDF-Datei auf seinem Blackberry öffnen will. Als erste Reaktion empfiehlt RIM, nur noch PDF-Attachements von vertrauenswürdigen Absendern zu öffnen. Für Administratoren haben sie eine Anleitung veröffentlicht, mit der sie automatische Konvertierung abschalten können. Danach lassen sich allerdings gar überhaupt keine PDF-Attachements mehr auf dem Blackberry anzeigen. Deswegen hat RIM auch zwei Sicherheitsupdates für den Blackberry Enterprise Server und die Blackberry Professional Software veröffentlicht.
Die deutschen Vodafone-kunden die sich den Kasten angetan haben werde alles
nötige dagegen tun ihre Geräte nicht zu aktualisieren, denn sie wissen nichts
davon und werden auch von keinem Informiert. Weiterhin fehlt ihnen der Grips
sich nach Software-Aktualisierungen umzusehen, da typischer Vodafone-Käufer =
doof.
haha ich bin toll :)
@Anonymus
den ersten satz kannst du dir auch gut und gerne verkneifen...
und
klar kann sogar blackberry mal ein fehler unterlaufen aber seit dem Storm häufen
die sich leider... (habe selber noch keins in der hand gehabt aber in dem fall
sind die vielen meldungen wohl eindeutig; würdes aber gern mal
austesten...)
und das mit dem kunden als betatester ist nicht nur nokia. da
zählen inzwischen alle hersteller dazu auch Sony-Ericsson (UIQ geräteserie vor
allem), Samsung (erste Omnia firmware war ne katastrophe und die aktuelle ist
immernoch viel langsamer als das X1), HTC (siehe die peinlichen Touch HD Bugs
die zum glück schnell gefixt wirden), usw...
Ist zwar für RIM ungewöhnlich aber kann jedem mal passieren.
Und dass Geräte
erst beim Kunden entwickelt werden lebt uns ja Nokia seit Jahren
vor.
Desweiteren kann ich nur sagen dass man wirklich keine Anhänge von
Unbekannten öffnen sollte.
Und meine Meinung zum iPhone:
Das fällt unter die
vielen Dinge die die Welt nun wirklich nicht braucht. Wer will das schon?
Wie heißt es immer...wenn man keine Ahnung hat einfach mal die F*****
halten:
Privatpersonen sind von dem Problem nicht betroffen, da Mails direkt
über den BIS versendet werden und da ist das Problem schon gefixt und PDFs
können gefahrlos angesehen werden.
Betroffen sind nur Anwender eines Enterprise
Servers und so wie es in der Nachricht steht sind schon Patches veröffentlich
worden bzw. in Arbeit.
Außerdem gilt immer noch: Wer Anhänge von Unbekannten
Ansendern öffnet ist selber schuld.
Peinlich
nix zu tun? Oder einfach nur ein Aufmerksamkeitsdefizit? oder pubertär...oder
beides?
wie ein Vorredner schon aufgeklärt hat, für private Anwender ist es
keine Gefahr. Betrifft nur BES.
Aber ich verstehe eure Häme....mit euren
Mulitmedia-Spielzeugen seid ihr natürlich vor Sicherheitswarnungen gefeit....die
werden natürlich nicht veröffentlicht, warum auch....solange die gecrackten MP3
laufen und man auf dicke Hose machen kann, ist doch alles bestens, gell!
Auch
Profis machen mal einen Fehler oder sind zu Nachbesserungen gezwungen. Aber RIM
baut nach wie vor das Beste, was es im Business-Bereich zu kaufen gibt.