Blackphone analysiert Sicherheit von BlackBerry Messenger

BlackBerry und Blackphone schenken sich zur Zeit nichts. Dan Ford, der Chief Security Officer von Blackphone-Software-Hersteller SGP Technologies, holt zum nächsten Schlag gegen BlackBerry aus. In seinem Blog veröffentlichte er eine Analyse des BlackBerry Messengers (BBM). Bei diesem Test fehlen aber entscheidende Fakten.

Zur Vorgeschichte:
BlackBerry-Manager Joe McGarvey unterstellte Blackphone “Sicherung der Privatsphäre auf Heimanwender-Niveau”. Kein Wunder, da es auf Android basiert. BlackBerry hat die Sicherheit in der DNA, angefangen beim Microkernel QNX. BlackBerry wird im Gegenzug vorgeworfen, “seine Privacy-Ziele verraten” zu haben, indem es Hintertüren zu Nachrichten seiner Kunden einrichte. Hier wird auf den Druck seitens der Regierungen in Saudi-Arabien, Indien und VAE angesprochen. Wie sich Blackphone verhalten würde ist nicht klar. 

Nun hat sich Ford den BBM vorgenommen und ihn mit Silent Text verglichen. Hier sei angemerkt:
Es wurde nur auf Android und iOS getestet. Kein Test auf einem BlackBerry Smartphone.
Ford selbst vermisste seit Umstieg auf iPhone den BBM. Er sei auch sicher, dass seine Firma auf Augenhöhe mit BlackBerry sei. Er will die Diskussion auf eine sachlichere Ebene bringen. Sehen wir uns den Test an:

Beim Test des BBM durch Angriffen auf die Transport Layer Security mit ITM, SSL Proxy und SSL Strip bewährte sich der BBM. Der BBM beendete den Versand von Nachrichten nach Registrierung eines Angriffs.

Da kommen die Negativpunkte von Ford:

1. BBM ist nicht in der Lage, vor Start der Anwendung ein Passwort hinzuzufügen. Er schreibt “Kein Passwort = keine Verschlüsselung”.

  • Ja, der “Privatkunden-BBM” lässt keine eigene Passphrase vor Kontaktaufnahme zu.
    Anders sieht es bei der Enterprise-Lösung aus:
    BBM Protected schützt durch personalisierte Schlüssel, welche die Nutzer vor einem Benutzen der Verschlüsselung miteinander austauschen – per Email, SMS, Telefonat oder in persona. Plus FIPS 140-2 zertifizierten Kryptographie.
  • Der “Privatkunden-BBM” hat 2 Sicherheitsstufen:
    1. Stufe besteht aus der gesicherten TLS-Verbindung zwischen dem Smartphone und dem Server. Die 2. Stufe ist ein dreifacher DES 168-Bit Scrambling Schlüssel.
  • Punkt für BlackBerry, “Kein Passwort = keine Verschlüsselung” ist nicht zutreffend.

2. Lokal würden Nachrichten außerdem im Klartext in einer SQLite-Datenbank gespeichert.

  • Es wurden die Versionen auf iPhone und Android getestet.
  • Es wurden keine Kontakte im Klartext abgespeichert, weder mit Namen, ID oder Nickname.
  • BlackBerry Geräte haben im Betriebssystem die Option, Gerätespeicher und SD-Karte zu verschlüsseln. Keine Software von Drittanbietern notwendig.
  • BlackBerry Geräte können zusätzliche mit einem Gerätepasswort geschützt werden.
  • Punkt geht trotzdem an Blackphone, in Silent Text sind diese Einträge nicht im Klartext, da muss der BBM für Android und iOS nachlegen.

3. BBM durchsuche das lokale Adressbuch nach Anwendern, die BBM nutzen.

  • Diese Option kann deaktiviert sein, die Funktionalität des BBM ist nicht eingeschränkt
  • Es werden nur Emailadressen von den vorhanden Kontakten an den BBM-Server gesendet, zur Überprüfung ob eine BlackBerry-ID hinterlegt ist.
  • Der BBM basiert auf der BlackBerry-ID. Es werden keine Telefonnummern oder weitere Daten benötigt.
  • Silent Text benutzt diese Methode auch.
  • Keinen Punkt.

4. Silent Text ist open source, BBM closed.

  • Niemand kann in Ruhe closed source nach Schwachstellen prüfen.
  • Punkt für BlackBerry. Open Source heißt nicht gleich sicherer. Es wurde durch Snowden geleakt, dass sich die Five Eyes sehr lange beschäftigen mussten, um BlackBerry zu knacken. Sie können noch nicht einmal alle Datenströme auswerten. Aber, in open source kann sich jeder Versierte ein Bild der Codeabläufe machen.

Toby Weir-Jones, der CEO von SGP Technologies:
“Blackphone ist unternehmenstauglicher als die BlackBerry-Plattform, die nur durch Firmen am Leben gehalten werde, die zu unflexibel für einen Wechsel seien.”

  • BlackBerry hat mehr Kunden als alle 3 Hauptkonkurrenten zusammen.
  • Mit BES10 können auch Android und Apple Geräte verwaltet werden
  • Im Herbst kommt BES12 auf den Markt. Mit weiteren Funktionen, die bei der Konkurrenz nicht zur Verfügung stehen, als Beispiel BBM Suite
  • Punkt an BlackBerry

Silent Text kostet in der Basis Version ohne VoIP 9,95€. Es gibt weitere Pakete mit Inklusivminuten, die Preise steigen dementsprechend. BBM ist mit VoIP kostenlos. Punkt für BlackBerry.

Quelle

Forumsdikussion

Dieser Beitrag hat einen Kommentar

Schreibe einen Kommentar