BlackBerry heeft gebruikers gewaarschuwd dat een groot aantal toestellen kwetsbaar door het FREAK-lek in SSL/TLS is dat begin maart werd onthuld. Via de kwetsbaarheid kan een aanvaller die zich tussen een doelwit en het internet bevindt in bepaalde gevallen de encryptie van de versleutelde verbinding naar een zwakke encryptie downgraden, om die vervolgens te kraken en het versleutelde verkeer te bekijken.
Volgens BlackBerry zijn verschillende versies van het besturingssysteem, de BlackBerry Enterprise Server (BES), BlackBerry Messenger (BBM) en andere software kwetsbaar. De fabrikant laat weten dat het onderzoek naar het lek nog loopt, maar er alvast is besloten om de kwetsbare systemen en software bekend te maken. Een update is nog niet beschikbaar, maar BlackBerry zegt dat een aanvaller zich eerst tussen de gebruiker en internet moet plaatsen om een aanval uit te kunnen voeren.
Standaardinstellingen, veelvoorkomende configuraties en algemene "best practices" zouden dan ook helpen bij het voorkomen van een succesvolle aanval. Verder zou het probleem worden verholpen als gebruikers data versturen die alvast worden versleuteld voordat ze over SSL worden verstuurd. Bijvoorbeeld in het geval van S/MIME of PGP. Wanneer BlackBerry het FREAK-lek zal patchen is onbekend. Deze week kwamen Apple en Microsoft al wel met updates.
Bron: Security.nl