Šifriranje v blackberryjih pomanjkljivo

Matej Huš

2. okt 2010 ob 09:29:55

Podatki na telefonih znamke BlackBerry so šifrirani, kar jih je skupaj s podporo elektronski pošti in drugimi funkcijami upravljanja pred leti naredilo za edino resno rešitev za poslovne uporabnike. Z leti je te zmožnosti usvojila tudi konkurenca, a so blackberryji v veliki meri zadržali svojo bazo uporabnikov. Rusko programsko podjetje ElcomSoft poroča, da prve prednosti nimajo več, saj so uspeli razbiti šifriranje, ki ga blackberry uporablja za shranjevanje podatkov na telefon.

Celotna zasnova varovanja podatkov je zelo dobra, a je njen najšibkejši člen ustvarjanje varnostne kopije podatkov. Ta je šifrirana z 256-bitnim ključem z algoritmom AES, ki se generira na podlagi gesla, ki ga vnese uporabnik. Problem predstavlja funkcija PBKDF2 za generiranje ključa, ki se uporablja samo v eni iteraciji (za primerjavo, Apple v iOS 4 uporabi 10.000 iteracij). Težava je tudi, da podatke šifrira program BlackBerry Desktop in ne sam telefon, tako da se med računalnikom in telefonom prenašajo v nezaščiteni obliki.

To dvoje so uporabili v podjetju ElcomSoft in svoj program Phone Password Breaker, ki je bil doslej omejen na Applove telefone, predelali tako, da tudi gesla blackberryjev išče zelo hitro - sedemčrkovno geslo ugane v treh dneh.