Bei dem Smartphone BlackBerry 10 versagte eine Regel, welche Geschäfts-Kontakte von Zugriffen durch private Apps schützen sollte. Persönliche Android-Apps Namen und Telefonnummern sind durch diese Schwachstelle zugänglich.

Als seine speziell geschützten Geschäfts-Kontakte in der Contacts App des Go Launcher EX auftauchten staunte Frank Büttner von der ABS Team GmbH nicht schlecht. Er hatte auf seinem Smartphone den Launcher mit BlackBerry 10.2.1 installiert, welcher in der Lage ist, Android Apps auszuführen. Eine andere Android-Anwendung, Skype Beta, zeigte Telefonnummern und Namen an. Büttner hatte über eine Regel eingestellt, dass genau das nicht hätte passieren dürfen und lediglich BlackBerry-eigene Apps Zugriff auf seine Geschäfts-Kontakte haben dürften.

Das BlackBerry 10 ermöglicht eine Einrichtung des geschützten Bereichs für geschäftlich genutzte Daten und Apps und legt sie verschlüsselt mit AES256 ab. Durch eine solche Abschottung der Geschäfts-Kontakte entsteht ein erheblicher Nachteil: Sobald ein Anruf eingeht, und der Corporate Workspace zu ist, dann kann das Gerät u. U. den Namen des Anrufers nicht anzeigen. Aus diesem Grund ist ein beschränkter Zugriff auf die jeweiligen Kontakte zugelassen, und Namen, Telefon-Nr. notwendige BBM-PIN werden außerhalb des Workspaces zur Verfügung gestellt. Eine derartige Zugriffsmöglichkeit kann durch das BlackBerry Enterprise Service 10 in einer sogenannten „Policy“ individuell gesteuert werden (Personal Apps Access to Work Contacts). Drei Zustände stehen zur Auswahl: None, Only BlackBerry Apps und All. Als Standardeinstellung ist All vorgegeben.

Genau diese „Policy“ versagt in den BlackBerry 10.2.1 Versionen, genauer noch den 10.2.1.537. Egal was in der Regel eingestellt ist, die für die Ausführung der Apps verantwortlichen Laufzeitumgebungen hat immer Zugriff auf diese Adressen. Außerdem vererbt sie jene Rechte wohl auch an alle anderen Android-Apps. Besonders delikat ist das auch schon deshalb, weil BlackBerry aus Gründen der Sicherheit Android-Apps in der sicheren Umgebung nicht zulässt, sondern nur sogenannte native Apps.

Die BlackBerry-Schwachstelle ist erkannt und gebannt. Das Unternehmen kam auf heise Security mit folgender offizieller Stellungnahme zu:

„We have investigated an issue in the Android player involving specific app permissions, and we have addressed it in our latest software builds. We will work with our carrier partners to help ensure the update is available to customers.“

Gemäß BlackBerry ist es dem nach Aufgabe der Carrier, die Lücke zu verschließen.

Artikel von heise.de, 05.02.2014: Peinliches Loch in BlackBerrys Geschäftsdaten-Tresor