BlackBerry официально выпустила уведомление безопасности для уязвимости в OpenSSL, более известной как «FREAK». Раннее уже сообщалось, что BlackBerry (помимо Android и iOS, некоторые из которых уже исправили) были уязвимы для атаки, которая теоретически могла быть использована для атаки защищенного соединения по протоколу HTTPS, что позволяет понизить уровень шифрования для «экспортного качества», который намного легче взломать. Эта слабость может позволить злоумышленнику, который способен перехватывать и изменять зашифрованный SSL трафик, сделать более слабый набор шифров. Для того, чтобы воспользоваться этой уязвимостью, злоумышленник должен сначала завершить успешную MitM атаку. Этот вопрос был рассмотрен в OpenSSL 1.0.1 и исправление доступно для интеграции в пострадавших продуктах BlackBerry.
Атака была обнаружена, как считалось, только на BlackBerry OS 10.3.1.2267, но выяснилось, что пострадали и другие версии ОС.
Когда будут исправлены продукты BlackBerry подверженные уязвимости OpenSSL? «Мы усердно работаем, чтобы определить полное влияние этого вопроса и выбрать наилучший подход для защиты клиентов. Это уведомление системы безопасности устраняет OpenSSL уязвимость, которая была раскрыта 3 марта 2015 года. BlackBerry старательно работает, чтобы исследовать уязвимости и определить, как лучше снизить риск клиента. Расследование продолжается, но подтверждено, что продукты BlackBerry подвергаются воздействию этой уязвимости. Мы будем обновлять это уведомление безопасности, как только новая информация и исправления станут доступными.»
Кто должен читать это уведомление?
- Пользователи смартфонов BlackBerry
- Пользователи BBM для Android, iOS и Windows
- Пользователи BlackBerry Blend
- Пользователи BlackBerry Link
- Пользователи Secure Work Space для Android и iOS
- IT-администраторы, которые используют BES12, BES10, BES5 или Secure Work Space для iOS и Android на предприятии
Подвержены уязвимости:
- BlackBerry 10 OS (все версии)
- BlackBerry 7.1 OS и выше (все версии)
- BES12 (все версии)
- BES10 (все версии)
- BES12 Client (IOS) (все версии)
- Secure Work Space для BES10 / BES12 (Android) (все версии)
- Work Space Manager для BES10 / BES12 (Android) (все версии)
- Work Browser для BES10 / BES12 (IOS) (все версии)
- Work Connect для BES10 / BES12 (IOS) (все версии)
- BlackBerry Blend для BlackBerry 10, Android, iOS, Windows и Mac (все версии)
- BlackBerry Link для Windows и Mac (все версии)
- BBM на BlackBerry 10 и Windows (все версии)
- BBM на Android для более ранних версий 2.7.0.6
- BBM на iOS для более ранних версий 2.7.0.32
- BBM Protected от BlackBerry 10 и ОС BlackBerry (все версии)
- BBM Protected от Android для более ранних версий 2.7.0.6
- BBM Protected от iOS для более ранних версий 2.7.0.32
- BBM Messendger для BlackBerry 10, Android, IOS, и Windows Phone (все версии)
Не подвержены уязвимости:
- BES5 (все версии)
- BlackBerry Universal Device Service (все версии)
- BES12 Client (Windows Phone) (все версии)
- BES12 Client (Android) (все версии)
- BBM на версии Android 2.7.0 и позднее
- BBM на версии IOS 2.7.0.32 и позднее
- BBM Protected на версии Android 2.7.0.6 и позднее
- BBM Protected на версии IOS 2.7.0.32 и позднее
BlackBerry в настоящее время изучает влияние этой уязвимости. Список пострадавшей и не пострадавшей продукции может быть обновлен по завершению расследования.
Неполадка возникает в смартфонах BlackBerry самостоятельно. Данные зашифрованные с помощью S/ MIME или PGP пока еще защищены.
Источник: crackberry.com