BlackBerry alerta que muchos de sus productos son vulnerables a Freak

BlackBerry está advirtiendo a sus clientes de que una gran parte de su cartera de productos es vulnerable Freak, incluidas múltiples versiones del sistema operativo BlackBerry, entre ellas BlackBerry 10; de BlackBerry Enterprise Server (BES) y de BlackBerry Messenger (BBM). La compañía todavía está tratando de determinar el alcance del efecto de la vulnerabilidad sobre sus productos. “BlackBerry está trabajando para determinar el impacto del problema y encontrar el mejor método para proteger a los clientes”, señala en un comunicado.

En el comunicado, BlackBerry explica que Freak permite a un atacante aprovechar el hecho de que algunos clientes SSL, incluyendo OpenSSL, aceptarán claves de cifrado RSA de 512 bits débiles en algunas circunstancias. Un atacante que sea capaz de ejecutar un ataque man-in-the-middle contra un objetivo utilizando una clave débil puede entonces interceptar la clave offline. Debido a que algunos servidores utilizarán la misma clave de forma indefinida, un atacante podría descifrar todas las futuras sesiones cifradas en ese servidor.

"Esta debilidad podría permitir a un atacante que sea capaz de interceptar y modificar el tráfico SSL cifrado a forzar un cifrado más débil, que podría ser roto por un ataque de fuerza bruta. Para aprovechar esta vulnerabilidad, un atacante debe completar con éxito un ataque man-in-the-middle. Este problema fue abordado en OpenSSL 1.0.1k y una revisión está disponible para su integración en los productos de BlackBerry afectados", señala el comunicado.