Blackberry veröffentlicht ersten Patch für Freak-Lücke [Update]

Blackberry hat einen ersten Patch veröffentlicht, der die als Freak bezeichnete Sicherheitslücke schließen soll, die ein Abfangen und Abhören von verschlüsselten Internetverbindungen erlaubt. Nach Angaben eines Unternehmenssprechers steht er bisher allerdings nur für das Smartphone Z30 mit Blackberry OS 10.3.1 zur Verfügung. Wann andere Geräte des kanadischen Herstellers den Fix erhalten, ist bisher nicht bekannt.

Seine Sicherheitswarnung hat Blackberry erst knapp zwei Wochen nach Bekanntwerden der Freak-Lücke veröffentlicht. Der Name steht für „Factoring Attack on RSA-Export Keys“ und bezieht sich auf eine Richtlinie der US-Regierung, die früher den Export starker Verschlüsselungstechnologien verbot und “schwächere” Export-Produkte für Kunden in anderen Ländern vorschrieb.

Davon betroffen sind nicht nur neuere Blackberry-Smartphones mit Blackberry OS 10, sondern auch Blackberry-7.1-Geräte und Blackberry Enterprise Service 12 und früher. Auch bei Blackberry Messenger unter Android, iOS und Windows Phone lässt sich die Verschlüsselung aushebeln. Damit sind fast alle Produkte, die das Unternehmen derzeit im Angebot hat, anfällig.

Blackberry weist allerdings darauf hin, dass im Fall von Blackberry Enterprise Service ein Angreifer zuerst das Intranet eines Nutzers kompromittieren müsse, bevor er die Freak-Lücke ausnutzen könne. Außerdem seien Geräte, die Inhalte mit PGP oder S/MIME verschlüsselten, bevor sie sie per SSL verschickten, auch ohne Update geschützt.

„Weitere Untersuchungen zu betroffenen Produkten dauern an“, heißt es weiter in dem Advisory. Blackberry prüfe den vollen Umfang des Problems und arbeite an einer Lösung zum Schutz seiner Kunden. „Sobald Fixes zur Verfügung stehen, wird diese Warnung aktualisiert.“

Neben Blackberry sind aber auch Windows Phone und auch alle Android-Versionen vor 5.0 weiterhin anfällig für die Freak-Lücke. Apple hat das Loch inzwischen in iOS und OS X gestopft. Microsoft und Google verteilen zudem seit letzter Woche Patches für Windows beziehungsweise die WebView-Komponente von Android 5.0.

[UPDATE 17.3.2015]

Inzwischen steht der 114 MByte große Patch auch für deutsche Nutzer des Blackberry Z30 zur Verfügung. Er aktualisiert Blackberry 10 OS auf Version 10.3.1.1179. Nach einem Neustart des Geräts, der wegen der Aktualisierung mehrere Minuten in Anspruch nimmt, ist das Smartphone nicht mehr anfällig für die Freak-Schwachstelle. Der integrierte Browser trägt jetzt die Versionsnummer 10.3.1.2576.

[mit Material von Zack Whittaker, ZDNet.com]

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Gefahren im Foxit PDF-Reader

Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.

2 Tagen ago

Bitdefender entdeckt Sicherheitslücken in Überwachungskameras

Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.

2 Tagen ago

Top-Malware in Deutschland: CloudEye zurück an der Spitze

Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…

2 Tagen ago

Podcast: „Die Zero Trust-Architektur ist gekommen, um zu bleiben“

Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…

3 Tagen ago

Google schließt weitere Zero-Day-Lücke in Chrome

Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…

3 Tagen ago

Hacker greifen Zero-Day-Lücke in Windows mit Banking-Trojaner QakBot an

Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…

3 Tagen ago