BlackBerry đã chính thức ban hành một thông báo bảo mật cho lỗ hổng OpenSSL được gọi là "FREAK" . Báo cáo đã nêu rõ rằng một số hệ điều hành BlackBerry (ngoài Android, IOS, OSX một số trong đó đã được vá) rất dễ bị tấn công. Về mặt lý thuyết lỗi này có thể được sử dụng để ngăn chặn chế độ an toàn một kết nối HTTPS và hạ cấp mã hóa để dễ dàng hơn nhiều trong việc bẻ khóa.

Freak - là tên viết tắt của cụm từ Factoring attack on RSA-EXPORT Keys - cho phép tin tặc giải mã bảo vệ của giao thức HTTPS trên các trình duyệt web và hàng triệu trang web khác nhau, từ đó tin tặc có thể lấy đi dữ liệu như thông tin đăng nhập, số thẻ tín dụng.

www.blackberry.com/security và www.blackberry.com/bbsirt . Để biết thêm thông tin về các tính năng bảo mật trong các thiết bị BlackBerry 10, đọc An ninh Tổng quan BlackBerry .

Phần mềm bị ảnh hưởng

- BlackBerry OS 10 (tất cả các phiên bản)
- BlackBerry OS 7.1 và trước đó (tất cả các phiên bản)
- BES12 (mọi phiên bản) BES10 (mọi phiên bản)
- BES12 Client (iOS) (mọi phiên bản)
- Secure Work Space cho BES10 / BES12 (Android) (mọi phiên bản)
- Work Space Manager cho BES10 / BES12 (Android) (mọi phiên bản)
- Work Browser cho BES10 / BES12 (iOS) (mọi phiên bản)
- Work Connect cho BES10 / BES12 (iOS) (mọi phiên bản)
- BlackBerry Blend cho BlackBerry 10, Android, iOS, Windows và Mac (mọi phiên bản)
- BlackBerry Link dành cho Windows và Mac (mọi phiên bản)
- BBM trên BlackBerry 10 và Windows Phone (mọi phiên bản)
- BBM trên Android trước phiên bản 2.7.0.6
- BBM trên iOS trước phiên bản 2.7.0.32
- BBM Protected trên BlackBerry 10 và BlackBerry OS (mọi phiên bản)
- BBM Protected trên Android trước phiên bản 2.7.0.6
- BBM Protected trên iOS trước phiên bản 2.7.0.32
- BBM metting cho BlackBerry 10, Android, iOS và Windows Phone (mọi phiên bản)

Phần mềm không bị ảnh hưởng
- BES5 (mọi phiên bản)
- BlackBerry Universal Device Service (mọi phiên bản)
- BES12 Client (Windows Phone) (mọi phiên bản)
- BES12 Client (Android) (mọi phiên bản) BBM trên Android phiên bản 2.7.0.6 và sau
- BBM trên phiên bản iOS 2.7.0.32 và sau
- BBM Protected vệ trên Android phiên bản 2.7.0.6 và sau
- BBM Protected vệ trên phiên bản iOS 2.7.0.32 và sau

Được điện thoại thông minh BlackBerry bị ảnh hưởng?
Vâng

Thông tin về lỗ hổng

BlackBerry hiện đang điều tra các tác động đến khách hàng của lỗ hổng Freak OpenSSL. Một danh sách các sản phẩm bị ảnh hưởng và không bị ảnh hưởng được gọi là cung cấp trong thông báo này, và có thể được cập nhật khi chúng tôi hoàn thành cuộc điều tra.

OpenSSL trên RSA-EXPORT Keys là một lỗ hổng trong việc thực hiện bao gồm OpenSSLvới các sản phẩm của Blackberry bị ảnh hưởng. Các OpenSSL phổ biến thư viện phần mềm mã hóa là phần mềm mã nguồn mở được sử dụng để đảm bảo các giao dịch của khách hàng / máy chủ.

Điểm yếu này có thể cho phép kẻ tấn công có thể chặn và sửa đổi lưu lượng truy cập SSL và làm suy yếu bộ mã hóa. Bộ mã hóa yếu này có thể bị phá vỡ bởi một cuộc tấn công tổng lực trong một thời gian ngắn. Để khai thác lỗ hổng này, kẻ tấn công đầu tiên phải hoàn thành một man-in-the-middle (MITM) . Vấn đề này đã được đề cập trong lỗ hổng OpenSSL 1.0.1k và có sẵn bản sửa lỗi để tích hợp vào các sản phẩm BlackBerry bị ảnh hưởng. Chi tiết lỗ hổng này CVE-2015-0204.

Blackberry đang tiếp tục điều tra các sản phẩm bị ảnh hưởng và đang làm việc để xác các định tác động nguy hại và xác nhận phương pháp tốt nhất để bảo vệ khách hàng.

Khi các bản sửa lỗi trở nên có sẵn, thông báo này sẽ được cập nhật.

Mitigations

Mitigations là điều kiện mà một kẻ tấn sẽ cần phải vượt qua để gắn kết một cuộc tấn công thành công hoặc sẽ hạn chế mức độ nghiêm trọng của một cuộc tấn công hiện có. Ví dụ trong trường hợp này là các thiết lập mặc định, cấu hình phổ biến và thói quen.

Mức độ nghiêm trọng cho tất cả các khách hàng được giảm nhẹ bởi điều kiện tiên quyết mà kẻ tấn công đầu tiên phải hoàn thành và tấn công khai thác lỗ hổng là man-in-the-middle (MITM). Đối BES12, BES10, Blend và Link, điều này sẽ đòi hỏi thêm rằng những kẻ tấn công vượt qua intranet.

Mức độ nghiêm trọng được giảm nhẹ cho các khách hàng gửi dữ liệu được mã hóa trước khi được gửi qua SSL; ví dụ, dữ liệu được mã hóa bởi S / MIME hoặc PGP sẽ vẫn được bảo vệ
Click to expand...


Theo Crackberry