Für ein Unternehmen ist Sicherheit eine der ganz großen Prioritäten: Wie sichere ich meine Daten, wie sichere ich Kundendaten? Wie schütze ich mich gegen Angriffe von außen und Datenklau? RIM hat sich in den letzten Jahren den Ruf aufgebaut, eine der sichersten Infrastrukturen anzubieten. Vom Smartphone zum Firmenserver und zurück ist alles wasserdicht und TÜV-geprüft. In dieses sichere Konzept passt es natürlich nicht, wenn jemand die Sicherheitsmechanismen aushebelt oder gar das System hacked. So geschehen mit dem BlackBerry Playbook OS 2.0, und nach unzähligen Fragen der Journalisten stellt sich Adrian Stone mit einer Erklärung:
Jailbreak und Sicherheit RIM
Ich bin Adrian Stone und ich bin der Direktor des BlackBerry Security Incident Response Teams (BBSIRT) hier bei Research in Motion. Das BBSIRT ist verantwortlich für Maßnahmen, wenn es um mögliche Sicherheitsrisiken geht und bei Untersuchungen, wenn es Behauptungen zu Lücken gibt, die RIMs Produkte beeinflußen könnten. Sicherheit hat höchste Priorität für unsere Kunden und deshalb werde ich regelmäßig etwas zu diesem Blog beitragen. In meinem ersten Artikel möchte ich ein paar Einblicke geben, wie wir bei Auftreten von Jailbreaks vorgehen und darauf reagieren.
Es hat sich zur Normalität in der Mobil- und Spieleindustrie entwickelt, einen Jailbreak vorzunehmen oder sich Administrator-Zugang zu einem Gerät zu verschaffen. Auf den Punkt gebracht, führt dieser tiefe Eingriff ins System und zu seinen Hauptfunktionen dazu, dass der Nutzer Dinge damit tun kann, die der Hersteller nicht vorgesehen hat. Zum Beispiel Software außerhalb von offiziellen Kanälen zu installieren. Unglücklicherweise kann dieser Administrator-Zugang das Sicherheitsrisiko erhöhen. Aus diesem Grunde raten die meisten Hersteller, so auch RIM, unbedingt von einem Jailbreak ab, obwohl sie gleichzeitig verstehen, dass ganze Communities nur zu diesem Zweck existieren. Wir bei RIM nehmen diese Angelegenheit sehr ernst. Schauen wir uns einmal an, wie wir Jailbreak-Berichte beurteilen und darauf reagieren.
Aus der Nutzersicht gibt es primär zwei Wege einen Jailbreak durchzuführen. Als erstes die Methode, bei der der Nutzer freiwillig die Veränderungen herbeiführt: a) das Gerät mit dem Computer verbindet; b) ein authorisiertes Nutzerkonto benutzt; und c) eventuell sogar die Standardeinstellungen verändert, indem er das Gerät in den Entwicklermodus versetzt, was ebenso zu einem Sicherheitsrisiko führen kann. Diese Methode kann nicht von entfernten Hackern eingesetzt werden um Benutzerdaten zu kompromittieren oder die Zuverlässigkeit des Gerätes zu verändern, da es sowohl physischen Besitz des Gerätes, als auch gültige Zugangsdaten zum Benutzerkonto voraussetzt. Die zweite Methode erfordert weniger Eingriffe auf Seiten des Nutzers. Zum Beispiel könnte ein Programmierfehler durch eine Webseite ausgenutzt werden um sich Administrator-Zugang zu jedwedem Mobilgerät zu verschaffen. Das erfordert lediglich den Besuch der Website.
Bei Bekanntwerden eines Jailbreak-Berichtes für ein BlackBerry Produkt erfolgt eine schnelle Einteilung in das zugrunde liegende Konzept und die Methode, die für den Jailbreak genutzt wurde. Wenn es in die erste Kategorie fällt, bei der mehrere Anstrengungen auf Seiten des Nutzers vonnöten sind, versuchen wir das in einem folgenden Software-Update zu beheben. Wenn es jedoch in die zweite Kategorie fällt, bei der eine Schwachstelle offengelegt wird, die fast keine Interaktion erfordert, so ist dies ein Zeichen für ein schwerwiegenderes Problem. Es führt in den meisten Fällen dazu, dass ein Sicherheitsupdate herausgegeben wird, um die Lücke schnell zu schließen. Wenn so etwas passiert, veröffentlicht mein Team eine Sicherheitsanweisung oder einen -hinweis. Diese Hinweise bieten häufig eine Einschätzung der Lage und eine Anleitung, wie die Kunden die Schwachstelle schließen können.
Um es klar auszudrücken: RIM empfiehlt Jailbreaking-Hilfsmittel (engl. = tool) nicht zu installieren. Kunden die ein Jailbreaking-Tool einsetzen verlieren ihren Garantieanspruch und erhöhen außerdem das Langzeit-Risiko die Stabilität und das BlackBerry-Erlebnis negativ zu beeinflussen. Der Einsatz von Jailbreaking-Hilfsmitteln kann auch das Risiko und die Auswirkungen zukunftiger Sicherheitslöcher erhöhen. Was wiederum dazu führt, dass persönliche Daten angreifbarer für Diebstahl und schwerer zu beschützen sind. Sollten neue Jailbreak-Berichte erscheinen, darf man sich gewiss sein, dass wir die Lage überprüfen und entsprechende Gegenmaßnahmen ergreifen werden, um die Kunden zu beschützen.
Aber die besten Maßnahmen die man ergreifen kann, um seine BlackBerry Produkte abzusichern, sind gleichzeitig auch einfach umzusetzen: 1) die BlackBerry Software stets auf dem neuesten Stand halten; 2) keine Jailbreaking-Tools installieren; und 3) keine Software von unauthorisierten oder unbekannten Quellen installieren.
Ich freue mich auf Fragen und Feedback, bitte schreibt Sie uns in den Kommentaren. Das BBSIRT und ich versprechen, jeden zu lesen und zu beantworten, wo möglich.
Was meint Ihr dazu, werdet ihr weiterhin einen Jailbreak durchführen oder gehört ihr zu denen, die sich damit noch nie beschäftigt haben?
© 2009 - 2013 MacBerry.de
09:37
[MARKED AS SPAM BY ANTISPAM BEE | Empty Data]
Zu meiner Schande muss ich gestehen, dass ich bis dato nicht einmal wußte, dass es für unser BB ein Jailbreak gibt :-)
Der einzige Grund warum ein Jailbreak notwendig ist, ist doch die Kostenfrage. Ich persönlich habe es einmal auf meinem alten iPhone probiert, habe aber nach ein paar Tagen die offizielle Version installiert, da ich keinen Vorteil für mich gesehen habe. Die paar Apps, die man haben möchte, können auch gekauft werden. Allein schon aus dem Grund, dass private Programmierer eine gigantische Arbeit in Ihre Apps stecken, ich denke, dass man dafür ruhig mal 7€ zahlen kann.
Außerdem geht doch bei jedem die Sicherheit vor. Ich behaupte ein Großteil der User haben nicht den Hauch einer Ahnung was sie mit dem JB gemacht haben und welche Türen geöffnet wurden.