Blackphone analysiert Sicherheit von Blackberry Messenger

Die Sicherheitsdiskussion zwischen Blackberry und Blackphone setzt sich fort. Dan Ford, der Chief Security Officer von Blackphone-Software-Hersteller SGP Technologies, hat jetzt in einem Blogbeitrag die Sicherheit von Blackberry Messenger (BBM) unter die Lupe genommen und mit dem eigenen Angebot Silent Text verglichen.

Eingangs erwähnt Ford, er habe BBM vermisst, als er damals auf ein iPhone gewechselt sei. In seinem ersten Test – Angriffen auf die Transport Layer Security mit ITM, SSL Proxy und SSL Strip – bewährte sich die Blackberry-Lösung. Sie stellte sogar den Versand von Nachrichten ein, nachdem sie die Angriffe registriert hatte.

Darauf folgen aber zwei Kritikpunkte Fords. Erstens scheine BBM nicht in der Lage, vor Start der Anwendung ein Passwort hinzuzufügen. Somit kommuniziere sie zunächst auch nicht verschlüsselt. Lokal würden Nachrichten außerdem im Klartext in einer SQLite-Datenbank gespeichert. Da die verwendeten Identifikationsnummern für Korrespondenten immer gleich seien, lasse sich dort sogar ermitteln, von wem welche Nachricht stamme.

Problematisch erscheint Ford auch ein dritter Punkt: BBM durchsuche das lokale Adressbuch nach Anwendern, die BBM nutzen. (Diese den Einstieg erleichternde Funktion nennt sich „Freunde finden„.) Wenn dies der Fall sei, ergänze BBM die Kontakteinträge um seine PINs. Über diese PINs jedoch – eine einmalige Kennung, ähnlich der bei Apple immer weniger benutzten UDID – identifiziere Blackberry seine Nutzer. Sie könnte daher aber auch von anderen für Tracking und Überwachung eingesetzt werden.

Anschließend beschäftigt sich Ford in seinem Beitrag mit Silent Text. Mit MITM, SSL Proxy oder SSL Strip ist es ebenso wenig zu knacken wie BBM, in zwei Fällen verweigert es sogar den Start. Etwas besser schneide Silent Text zudem ab, was die Datenbank anbelange, die auch mit lokalem Zugriff nicht auf Anhieb auszulesen sei, heißt es.

Abschließend weist der CSO von SGP Technologies darauf hin, dass der Quelltext seiner Programme verfügbar sei, sodass sich jeder ein Bild machen könne. Dass es sich bei Blackberry um Closed Source handelt, erwähnt er nicht extra. Er schließt mit dem Hinweis, hundertprozentige Sicherheit könne es nicht geben, auch wenn SGP mit Leviathan eine externe Firma mit Tests beauftragt habe.

Die Auseinandersetzung hatte vor zwei Wochen mit einem Angriff von Blackberry begonnen, das dem Blackphone „Sicherung der Privatsphäre auf Heimanwender-Niveau“ unterstellte. Blackberry-Manager Joe McGarvey behauptete auch, das Blackphone sei nur der jüngste Spross einer „Heimwerker-Industrie für sichere Kommunikationsprodukte, die sich an Heimanwender wenden.“ Diese sei in der Folge von Edward Snowdens Enthüllungen entstanden. McGarvey sprach dem Blackphone damit natürlich vor allem Unternehmenstauglichkeit ab. Das „angeblich sichere“ Blackphone lasse sich nicht durch die IT-Abteilung kontrollieren.

Eine Antwort gab kurze Zeit später Toby Weir-Jones, der CEO von SGP Technologies: Er schrieb, das Blackphone sei unternehmenstauglicher als die Blackberry-Plattform, die nur durch Firmen am Leben gehalten werde, die zu unflexibel für einen Wechsel seien. „Die Welt hat 2010 erfahren, dass RIM bereit war, seine Integrität zu opfern, wenn Regierungen nur ausreichend Druck ausübten, um die Nachrichten der damals weit verbreiteten Geräte auszuspionieren. Diverse Erklärungen der Telekom-Regulierungsbehörden in Saudi-Arabien, den Vereinigten Arabischen Emiraten und Indiens bestätigen letztlich: RIM hat es möglich gemacht, die zuvor geheimen verschlüsselten Nachrichten zu entschlüsseln und einzusehen.“

Mit dem jetzigen Beitrag von SGP-CSO Dan Ford gestaltet SGP die Diskussion wieder etwas sachlicher. Zugleich hebt es hervor, dass es sich auf Augenhöhe mit dem Traditionsunternehmen aus Kanada sieht.

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.