BlackBerry leitet E-Mail-Zugangsdaten weiter

So eben hat sich BlackBerry folgendermassen geäussert: «BlackBerry's Discovery Service verwendet die Anmeldeinformationen, die durch den Benutzer zur Verfügung gestellt werden, um mit dem Mail-Server zu kommunizieren und sich mit diesem zu verbinden. Dieser Prozess wird durchgeführt um das Setup zu vereinfachen und ermöglicht BlackBerry, die verschiedenen Optionen für Server-Namen, Ports, Protokolle und Server-Optionen zu konfigurieren. Die Benutzerdaten werden lediglich während der Installation des Accounts verwendet, BlackBerry speichert keine Benutzernamen und Passwörter.»

BlackBerry ist das sicherste Mobile-Betriebssystem für Unternehmen und Private, denn die Verschlüsselung ist hervorragend, die Daten von Unternehmen und Privaten sicherer aufgehoben als irgendwo sonst. So in etwa könnte ein Werbeslogan von BlackBerry lauten. Ein Slogan, der nicht wahr ist. Zumindest wenn es nach zwei Experten geht, die unabhängig voneinander berichten, dass BlackBerry bei der Einrichtung eines E-Mail-Kontos auf einem BlackBerry-10-Gerät die kompletten Zugangsdaten inklusive Username und Passwort an Server am Hauptsitz des Unternehmens in Waterloo, Kanada, übermittelt.

So hat Sicherheitsexperte Marc Heuser folgende Beobachtung an heise.de mitgeteilt: «Wenn man unter BlackBerry 10 einen neuen Mail-Account konfiguriert, kommuniziert das Smartphone verschlüsselt mit dem Server discvoeryservice.blackberry.com. Verschafft man sich über einen Web-Analyse-Proxy wie Burp Einblick in die verschlüsselten Pakete, ist das Erstaunen gross: Nach Eingabe der Mail-Adresse wird diese sofort an BlackBerry übertragen und im nächsten Schritt folgt auch noch das Passwort».

Zum gleichen Schluss kommt Frank Rieger vom Chaos Computer Club (CCC), der dazu einen Blogbeitrag verfasste. Problematisch könnte das Ganze auch sein, wenn sich beispielsweise Mitarbeiter von Unternehmen mit ihren E-Mail-Konten ins VPN einloggen.

Was das Unternehmen mit den Daten macht, ist nicht klar und zumindest werden sie verschlüsselt übermittelt, was das Fremdlesen schwierig macht. Vielleicht bleiben die Daten darum ungelesen auf den Servern, vielleicht werden sie aber auch an Behörden weitergeleitet, spekulieren darf man. Denn BlackBerry schweigt dazu und verweist lediglich darauf, dass sie immer wieder betonen, keine Hintertür zu ihrer Plattform offen zu lassen.

Wie heise.de berichtet kann die Übertragung der Zugangsdaten offenbar umgangen werden, indem man das Mail-Konto über den Button «Erweitert» einrichtet. Dieser wird standardmässig allerdings von der Bildschirmtastatur verdeckt. Um ihn zu erreichen, muss zunächst eine Stelle ausserhalb des aktiven Texteingabefelds berührt werden.