Angesichts einer gerade bekannt gewordenen Sicherheitslücke im BlackBerry-Browser möchte ich auf die Möglichkeit hinweisen, die BlackBerry-Geräte genauso über einen Web-Proxy zu zwingen, wie das womöglich schon mit den "Desktops" gemacht wird.
Zu der Sicherheitslücke erst einmal:
http://btsc.webapps.blackberry.com/btsc/dynamickc.do?externalId=KB30152&sliceID=1&command=show&forward=nonthreadedKC&kcId=KB30152
Die Lücke gilt für BlackBerry OS 6 - 7.1 und Playbook OS (1 und 2).
Wenn der Nutzer eine präparierte Webseite ansurft, kann entweder Code im Kontext des Browsers ausgeführt werden (Playbook) oder auf das Dateisystem zugegriffen werden (BlackBerry OS).
Die Lücke hat einen CVSS-Score von 6.8 (BlackBerry OS) bzw. 7.5 (Playbook OS). Es gibt bisher keinen bekannten Versuch, den Fehler auszunutzen.
Ein Fix wird gerade entwickelt.
Der empfohlene Workaround ist, die Nutzer über einen Proxy zu zwingen, der nicht vertrauenswürdige Webseiten blockiert.
Ein gemeinhin nicht wahrgenommenes (?) Feature des BES ist nämlich der MDS-CS (Mobile Device Service - Connection Service).
Wenn ein mobiles Gerät sich mit dem BlackBerry-Standard-Browser mit dem Internet verbindet, geht die zugehörige Verbindung immer über den MDS.
Der MDS macht so hilfreiche Dinge wie:
- Verschlüsselung des Datenverkehrs (zumindest zwischen Gerät und MDS)
- Komprimierung der Webseiten-informationen - zum Beispiel indem Bilder auf die Bildschirmgröße herunterskaliert werden
- Heruntergeladene Dateien werden ebenso wie in der E-Mail-Anwendung vom Attachment Service komprimiert
Dadurch, dass der MDS ohnehin zentrale Anlaufstelle ist, kann man gleich noch zwei "Nebeneffekte" mitnehmen:
- Der Zugriff auf Webseiten des Intranets wird ermöglicht, sofern der MDS sie erreichen kann, und
- der MDS kann auch über einen Proxy geleitet werden, so dass mobile Surfer den gleichen Beschränkungen unterliegen wie die lokalen Nutzer auch. Sie haben natürlich auch einen ähnlichen Nutzen wie die lokalen Benutzer - Stichwort "Caching"
Letzteres zu konfigurieren ist denkbar einfach. Dazu geht man in der Komponentenansicht des BlackBerry Administration Service auf die gewünschte Instanz des MDS-CS. Der Rest ist beinahe selbsterklärend - Details gibt es auch hier.
Damit das auch wirklich funktioniert, muss man natürlich auch verhindern, dass die Nutzer etwas anderes als den BlackBerry-Browser nutzen, um ins Internet zu kommen. Dazu gibt es im ersten Link unter "Workaround" eine ausführliche Beschreibung.
