Blackberry veröffentlicht ersten Patch für Freak-Lücke [Update]

Blackberry hat einen ersten Patch veröffentlicht, der die als Freak bezeichnete Sicherheitslücke schließen soll, die ein Abfangen und Abhören von verschlüsselten Internetverbindungen erlaubt. Nach Angaben eines Unternehmenssprechers steht er bisher allerdings nur für das Smartphone Z30 mit Blackberry OS 10.3.1 zur Verfügung. Wann andere Geräte des kanadischen Herstellers den Fix erhalten, ist bisher nicht bekannt.

Seine Sicherheitswarnung hat Blackberry erst knapp zwei Wochen nach Bekanntwerden der Freak-Lücke veröffentlicht. Der Name steht für „Factoring Attack on RSA-Export Keys“ und bezieht sich auf eine Richtlinie der US-Regierung, die früher den Export starker Verschlüsselungstechnologien verbot und “schwächere” Export-Produkte für Kunden in anderen Ländern vorschrieb.

Davon betroffen sind nicht nur neuere Blackberry-Smartphones mit Blackberry OS 10, sondern auch Blackberry-7.1-Geräte und Blackberry Enterprise Service 12 und früher. Auch bei Blackberry Messenger unter Android, iOS und Windows Phone lässt sich die Verschlüsselung aushebeln. Damit sind fast alle Produkte, die das Unternehmen derzeit im Angebot hat, anfällig.

Blackberry weist allerdings darauf hin, dass im Fall von Blackberry Enterprise Service ein Angreifer zuerst das Intranet eines Nutzers kompromittieren müsse, bevor er die Freak-Lücke ausnutzen könne. Außerdem seien Geräte, die Inhalte mit PGP oder S/MIME verschlüsselten, bevor sie sie per SSL verschickten, auch ohne Update geschützt.

„Weitere Untersuchungen zu betroffenen Produkten dauern an“, heißt es weiter in dem Advisory. Blackberry prüfe den vollen Umfang des Problems und arbeite an einer Lösung zum Schutz seiner Kunden. „Sobald Fixes zur Verfügung stehen, wird diese Warnung aktualisiert.“

Neben Blackberry sind aber auch Windows Phone und auch alle Android-Versionen vor 5.0 weiterhin anfällig für die Freak-Lücke. Apple hat das Loch inzwischen in iOS und OS X gestopft. Microsoft und Google verteilen zudem seit letzter Woche Patches für Windows beziehungsweise die WebView-Komponente von Android 5.0.

[UPDATE 17.3.2015]

Inzwischen steht der 114 MByte große Patch auch für deutsche Nutzer des Blackberry Z30 zur Verfügung. Er aktualisiert Blackberry 10 OS auf Version 10.3.1.1179. Nach einem Neustart des Geräts, der wegen der Aktualisierung mehrere Minuten in Anspruch nimmt, ist das Smartphone nicht mehr anfällig für die Freak-Schwachstelle. Der integrierte Browser trägt jetzt die Versionsnummer 10.3.1.2576.

[mit Material von Zack Whittaker, ZDNet.com]