Wer seinen Mail-Account jemals mit einem aktuellen BlackBerry benutzt hat, sollte ernsthaft darüber nachdenken, sein Passwort zu ändern: Bei der Einrichtung eines Mail-Accounts schickt BlackBerry 10 die eingegebenen Zugangsdaten ungefragt an den Hersteller.

Wer sein Passwort hier eingibt, sendet es geradewegs an BlackBerry.

Der Sicherheitsexperte Marc Heuse hat heise Security kürzlich über eine interessante Beobachtung informiert: Wenn man unter BlackBerry 10 einen neuen Mail-Account konfiguriert, kommuniziert das Smartphone verschlüsselt mit dem Server discoveryservice.blackberry.com. Verschafft man sich über einen Web-Analyse-Proxy wie Burp Einblick in die verschlüsselten Pakete, ist das Erstaunen groß: Nach Eingabe der Mail-Adresse wird diese sofort an BlackBerry übertragen und im nächsten Schritt folgt auch noch das Passwort. Parallel zu Marc Heuse ist offenbar Frank Rieger auf das Problem aufmerksam geworden; seine Erkenntnisse hat er in seinem Blog veröffentlicht.

Geheim ist unser Passwort jetzt offensichtlich nicht mehr.

Die Zugangsdaten werden zwar verschlüsselt über HTTPS übertragen, weshalb sie ein Datenschnüffler auf dem Transportweg schwerlich mitlesen kann. BlackBerry kann sie jedoch sehr wohl entschlüsseln. Was dort mit den Zugangsdaten geschieht, darüber kann man nur spekulieren.

Angesichts der aktuellen Entwicklungen rund um PRISM dürfte die Tatsache, dass die Accountdaten und das Passwort ohne deutlich erkennbare Vorwarnung an ein Unternehmen im Ausland weitergegeben werden, bei vielen Nutzern Bauchschmerzen verursachen. Wer auf Nummer sicher gehen will, sollte sein Passwort ändern. Das ist freilich nur dann effektiv, wenn man es anschließend nicht wieder in den Einrichtungsassistenten des BlackBerry einträgt.

BlackBerry ist traditionell vor allem im Business-Umfeld beliebt und dort kann man sich mit den Zugangsdaten zum Mailkonto allzu oft auch unter anderem ins VPN einwählen (Single-Sign-On). Angesichts der Datenweitergabe müssen Firmen den Einsatz der Geräte wohl neu bewerten.

BlackBerry hat sich bislang nicht zu dem Problem geäußert; eine Antwort auf unsere Presseanfrage steht noch aus.

Update vom 18.7., 13:20: Inzwischen liegt uns eine erste Stellungnahme des Herstellers vor. Darin heißt es: Wir können derzeit zu den in den Medien erhobenen Vorwürfen mit Bezug auf die staatliche Überwachung von Telekommunikationsdaten keinen Kommentar abgeben. [...] In unseren öffentlichen Stellungnahmen und Prinzipien unterstreichen wir seit langem, dass es keine “Hintertür” zu dieser Plattform gibt. Zu dem eigentlichen Kern des Problems, nämlich der Übertragung der Zugangsdaten, hat sich BlackBerry bislang nicht geäußert.

Die erweiterte Einrichtung ist standardmäßig von der Tastatur verdeckt.

Update vom 18.7., 14:45: Die Übertragung der Zugangsdaten kann man offenbar umgehen, indem man das Mail-Konto über den Button "Erweitert" einrichtet. Dieser wird standardmäßig allerdings von der Bildschirmtastatur verdeckt. Um ihn zu erreichen, muss man zunächst eine Stelle außerhalb des aktiven Texteingabefelds berühren.

Das Abschalten der Option "Diagnose- und Nutzungsdaten senden" hat indes keinen Einfluss auf die Übertragung der Zugangsdaten. Wird ein BlackBerry über einen BlackBerry Enterprise Server (BES) verwaltet, kommt der Konfigurationsassistent nicht zum Einsatz.

Siehe hierzu auch:

(rei)