Sicherheit wird gerade von RIM mit seinen BlackBerrys groß geschrieben. Doch egal wie lange man schaut, manchmal übersieht auch das beste Auge etwas. Wie auf BlackBerry-Forum.de berichtet wurde, könnte es eine Sicherheitslücke im BES geben.
BES Sicherheitsrichtlinien nutzlos?
Mittels des BES (BlackBerry Enterprise Server) ist es möglich Richtlinien auf den zugehörigen BlackBerrys durchzusetzen, um so für mehr Sicherheit auf den BlackBerrys zu sorgen. So ist es möglich den Zugriff auf erotische Webseiten zu verbieten. Ist dieses Verbot in Kraft und man versucht mit dem BlackBerry Browser beispielsweise playboy.com aufzurufen, so meldet dieser, dass dies nicht erlaubt ist. Doch wie auf BlackBerry-Forum.de berichtet, scheint es, dass diese Barriere wohl umgangen werden kann. Dazu ruft man die BlackBerry Hilfe auf – nicht die reguläre, sondern die mit dem gelben Kreuz. Danach drückt man kurz die Menu-Taste und wählt dort “Gehe zu…”. Schon kann man trotz gegenteiliger IT Policy diese Seiten aufrufen.
Hat da jemand nur seinen BES falsch konfiguriert, oder ist es tatsächlich so leicht, die BES Sicherheitsrichtlinien zu umgehen? Sollte es sich tatsächlich um eine Sicherheitslücke handeln, wird RIM wohl in Kürze mit einem Softwareupdate reagieren. Fraglich ist außerdem wie soetwas übersehen werden konnte, denn das Frauenhofer Institut hat den BES bereits getestet.
Danke an Mario für den Hinweis
| Exklusiver EMail Service | Software for BlackBerry®
|
BlackBerry Diskussionsforum
BlackBerry Experten diskutieren Ihre Themen hier: BBInsight Forums. Registrier dich jetzt und erhalte einen $50 Einkaufsgutschein. |
diese “Sicherheitslücke” ist nur deshalb offen, weil der “Allow Other Browser Service” in der “Service Exclusivity policy group” auf “True” gesetzt ist. Diese Einstellung muss aber scheinbar gesetzt sein, um auf dem Blackberry MMS versenden und empfangen zu können. Nun kann man sich darüber streiten, ob es eine Sicherheitslücke ist, aber es darf eigentlich nicht sein, dass ausgerechnet RIM bei seiner eigenen Hilfe die BES Infrastruktur “aushebelt” und damit Zugriff auf Seiten erlaubt, die über die BES Infrastruktur nicht erreicht werden können.