Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 53, views: 25.635 •
Submitter: Bockelaar

BlackBerry zou inloggegevens voor pop/imap-e-mail doorsturen naar een eigen server, alvorens verbinding met de mail-server te maken. Daarbij zouden niet alleen de inloggegevens worden onderschept, maar zouden deze ook onbeveiligd worden verstuurd.

Dat meldt het Duitse blog Knowledge Brings Fear, die bij een test een ip-adres van BlackBerry in de logs aantrof bij het opzetten van een e-mailaccount via imap. De site stelt dat BlackBerry een server met ip-adres 68.171.232.33 in Canada heeft staan waarnaar de inloggegevens worden verstuurd. Pas daarna wordt door BlackBerry zelf verbinding gemaakt met de mailserver. De vondst werd bevestigd door het eveneens Duitse Heise.de.

Volgens het blog verstuurt BlackBerry de inloggegevens onversleuteld naar de mailserver, tenzij op de mailserver is ingesteld dat er gedwongen van ssl- of tls-versleuteling gebruikgemaakt moet worden. Daardoor kan de data eventueel onderschept worden door kwaadwillenden. 

BlackBerry wilde tegenover Heise.de geen inhoudelijk commentaar geven over het onderscheppen van de inloggegevens. Daardoor blijft het speculeren over de precieze reden: mogelijk slaat BlackBerry de gegevens op zodat geheime diensten hiervan gebruik kunnen maken. In verscheidene landen moest BlackBerry overigens al inloggegevens van gebruikers overhandigen, waaronder in Saudi Arabië.

Update 22:02 uur: Heise.de heeft een update geplaatst waarin wordt uitgelegd hoe het versturen van inloggegevens naar de servers van BlackBerry voorkomen kan worden. Wanneer er bij het instellen van het e-mailaccount voor de optie 'geavanceerd' wordt gekozen blijken er geen gegevens verstuurd te worden. Wanneer de gebruiker niet voor deze handmatige optie kiest gebeurt dit dus wel.

Reacties (53)

Zeker een 'onderonsje' met de NSA, net even wat makkelijker maken ;-)

Maar even On Topic:
Ik begrijp niet zo goed waarom dit onversleuteld gebeurt. Waarom er uberhaupt een wachtwoord naar hun server moet is natuurlijk de grotere vraag, maar als het moet, ga niet zo losjes om met andermans privacy a.u.b.
De NSA is van de Verenigde Staten, Blackberry komt uit Canada.
Dus? Blackberry worst gebruikt door veel overheden, heerlijk om zo af te kijken voor de NSA. Verder snap ik je reactie niet, er zijn zeker ook buitenlandse bedrijven die communiceren met de NSA over wachtwoorden die nog niet bekend zijn.
Iets zegt me dat de NSA echt niet stopt bij de landsgrenzen van de VS. Als veiligheidsdienst wil je juist over de grenzen kunnen kijken om voorbereid te zijn.
Waar het bedrijf precies vandaan komt maakt niet heel veel uit. Er is vast wel een besloten vennootschap of naamloze vennootschap gevestigd in USA. De overheid kan dan druk uitoevenen om b.v. bepaalde gegevens vrij te geven.

Maar het lijkt mij ook een beetje te speculatief:
"Daardoor blijft het speculeren over de precieze reden: mogelijk slaat BlackBerry de gegevens op zodat geheime diensten hiervan gebruik kunnen maken"

Lijkt mij niet dat een overheid kan dwingen dat een bedrijf gevoelige informatie moet stelen. Dat ze eventueel informatie moeten afgeven als er een goede reden is en als ze die info al hebben is een ander verhaal.
dus wel. bedrijven worden hiertoe wettelijk verplicht.
Het wachtwoord wordt naar de server verstuurd omdat BlackBerry een unieke pushmail functie ondersteund voor alle e-mailadressen, ook als het IMAP of POP servers bedragen. Het gedeelte van het ophalen van de mail nemen zij voor hun rekening, om vervolgens de mail gecomprimeerd en versleuteld naar het device toe te pushen. Vandaar heeft elk BlackBerry toestel naast een uniek IMEI nummer ook een unieke PIN.

Leuk feitje over deze compressie; een iPhone 5 gebruikt voor dezelfde hoeveelheid mail ongeveer vijf keer zoveel data als een BlackBerry op een BIS.

Je wordt overigens wel downgemod (risico van een fipo), maar dat achterdeurtje naar de NSA zou mij totaal niet verbazen. Koen hierboven haalt als argument aan dat BlackBerry geen Amerikaans bedrijf is, ik denk dat we toch uit alle berichtgeving omtrent PRISM enzovoorts toch wel mogen concluderen dat iedereen spreekwoordelijk de lul kan zijn.

Edit: Ik ben hieronder al verbeterd, particuliere gebruikers kunnen kennelijk gebruik maken van hun BlackBerry met BB10 zonder de befaamde speciale (en duurdere) BlackBerry bundel hiervoor nodig te hebben. De rest van het verhaal is wel van toepassing op alles voor BB10.

Maar, hoe zit het dan met de zakelijke gebruikers, en waarom worden er überhaupt wachtwoorden uitgewisseld met een server van Blackberry?

[Reactie gewijzigd door ScoeS op 18 juli 2013 19:44]

De pin is hetzelfde als je BBM pin, dus bijv: 24A04E84 (fictieve pin). Via deze pin is je telefoon dus bekend bij BlackBerry.
PIN is gewoon een afkorting van Personal Identification Number, betekent dus niet dat het meteen 4 cijfers moet hebben omdat een bepaald PIN dat heeft..
Weer wat geleerd vandaag, hoewel ik 24A04E84 niet echt een 'Number' wil noemen.
Absoluut wel een "number", het hexadecimale getallenstelsel word nog al eens gebruikt in computerland.
Mja, maar alles in de computer is een nummer, ook alle letters die je hier ziet. Zolang het geen unicode is of heel erg oud 8 bits per karakter (oftewel een byte).

Dat iets anders vervolgens interpreteert dat het getal 65 in dit geval een letter moet zijn en in het volgende iets anders doet daar niks aan af ;).

Voor mij genoeg reden om blackberry te mijden als de plaag in ieder geval (nog steeds). Het is al vrij lang bekend dat de USA veel kan tappen bij BlackBerry. Dit kwam naar mijn weten overigens pas naar buiten toen
edit:
Indonesie
India ze wou verbannen vanwege het geencrypte verkeer waarvan BB, destijds naar eigen zeggen, niet eens de sleutels zou hebben...

Leugens en bedrog... Om de zelfde reden gebruik ik geen dropbox, google drive, skydrive etc. zonder de bestanden eerst zelf te encrypten. Dat soort clubs doen echt wel dedupe en kunnen bestanden ook beschikbaar stellen aan derden via links (die je zelf aan moet maken overigens). Voor dedupe is encryptie hoogst onwenselijk en voor het beschikbaar stellen aan derden is decryptie gewoon noodzakelijk.

[Reactie gewijzigd door freaky op 18 juli 2013 22:59]

Leuk feitje over deze compressie; een iPhone 5 gebruikt voor dezelfde hoeveelheid mail ongeveer vijf keer zoveel data als een BlackBerry op een BIS.
Zo'n factor zal alleen maar lukken als je alleen maar platte tekst overstuurt en geen plaatjes...
Tevens is dit natuurlijk niet alleen maar 'iPhone 5', maar 'niet-BIS', dus IMAP/POP.
Het wachtwoord wordt naar de server verstuurd omdat BlackBerry een unieke pushmail functie ondersteund voor alle e-mailadressen, ook als het IMAP of POP servers bedragen. Het gedeelte van het ophalen van de mail nemen zij voor hun rekening, om vervolgens de mail gecomprimeerd en versleuteld naar het device toe te pushen. Vandaar heeft elk BlackBerry toestel naast een uniek IMEI nummer ook een unieke PIN.

Leuk feitje over deze compressie; een iPhone 5 gebruikt voor dezelfde hoeveelheid mail ongeveer vijf keer zoveel data als een BlackBerry op een BIS.
Dit is het geval voor BBOS 7.0 of eerder. BB10 maakt geen gebruik van BIS. Het lijkt erop dat ze (onbewust) verkeerd gebruik maken van de autodiscovery option. Dat dit met de advanced setup niet gebeurd komt omdat BB dan niet de server instellingen op haalt.

Dit geld overigens ook voor de BB playbook.
Je wordt overigens wel downgemod (risico van een fipo), maar dat achterdeurtje naar de NSA zou mij totaal niet verbazen. Koen hierboven haalt als argument aan dat BlackBerry geen Amerikaans bedrijf is, ik denk dat we toch uit alle berichtgeving omtrent PRISM enzovoorts toch wel mogen concluderen dat iedereen spreekwoordelijk de lul kan zijn.

Edit: Ik ben hieronder al verbeterd, particuliere gebruikers kunnen kennelijk gebruik maken van hun BlackBerry met BB10 zonder de befaamde speciale (en duurdere) BlackBerry bundel hiervoor nodig te hebben. De rest van het verhaal is wel van toepassing op alles voor BB10.

Maar, hoe zit het dan met de zakelijke gebruikers, en waarom worden er überhaupt wachtwoorden uitgewisseld met een server van Blackberry?
Zakelijke gebruikers hebben een eigen BES server. Deze BES heeft tig policies om veiligheid af te dwingen. Ook kan vpn gebruik worden afgedwongen. De datacompressie op BB10 devices is niet meer van toepassing.

Ik zie dat de post gewijzigd is mbt BB10, maar vond het toch nodig dit even in een directe quote te benadrukken
Het altijd zo veilig geprezen Blackberry BIS/BES platform loopt hier toch wel een deukje op, erg slordig dit.

Ik denk dat het publiceren van het IP adres van de server een goede stap is. Goedwillende "hackers" mogen hier wat mij betreft zo snel mogelijk op duiken, des te eerder BlackBerry met een passende oplossing komt.
BB10 werkt voor de consument tegenwoordig zonder BIS/BES...
Je hebt inderdaad gelijk, daar was ik (nog) niet van op de hoogte. Voor zakelijke gebruikers is het dus nog wel beschikbaar? Als er één groep gebruikers was van BlackBerry's (op de kleine Nederlandse revolutie onder de PIN-jeugd na dan) dan waren het wel zakelijke.

Haalt mijn argument op zich niet onderuit, van het veilige BIS/BES platform is dit wel een flinke stap achteruit..

Dan reist van de volgende vraag; waarom worden er dan überhaupt nog wachtwoorden uitgewisseld tussen het toestel en een BlackBerry server? Ik mag toch hopen dat mijn iPhone gewoon contact zoekt met de servers van Google als ik een account instel..

[Reactie gewijzigd door ScoeS op 18 juli 2013 19:41]

BES word hierbij dus helemaal buiten schot gelaten, dit omdat de BES servers bij de bedrijven zelf staan in hun eigen datacentra, BlackBerry kan deze BES servers ook niet zomaar benaderen.

Verder werd dit gedaan zoals ScoeS hierboven ookal zei om de IMAP en POP ook push te geven. Verder is door deze persoon nergens bewezen dat de gegevens ook echt opgeslagen worden in een database, alleen dat de server voor BIS van BlackBerry de eerste keer contact maakt met de mailserver met de gebruikersnaam en wachtwoord van de gebruiker. Hierbij is het dus goed mogelijk dat die eenmalig is en dus niet opgeslagen word in een database.
Ik vindt het een erg vreemd verhaal, waarom zou BlackBerry de e-mail wachtwoorden van e-mailaccounts doorzenden???

Ik dacht bij BlackBerry veilig te zijn voor privacyschendingen maar blijkbaar is er helemaal niks meer heilig? :'(
Mijn privacy is nu juist één van de redenen waarom ik (bijvoorbeeld) geen Android smartphone aanschaf.

Wel vraag ik me af of de wachtwoorden door BlackBerry ook daadwerkelijk naar een eigen 'database' worden verzonden, daar is geen bewijs voor, of mis ik iets?

Wat overigens niet in dit artikel is opgenomen en wel uit een van de bronnen blijkt is dat dit probleem voorkomen kan worden:
Door je e-mail account op te zetten met behulp van de "Geavanceerde modus" wordt het wachtwoord NIET verzonden aan BlackBerry.

Het is een heel stuk ingewikkelder als de 'normale' methode maar je bent er dan in ieder geval zeker van dat je wachtwoord op die manier niet in handen van anderen valt.

Nu eerst mijn wachtwoord veranderen en mijn account opnieuw op mijn BlackBerry opzetten....

[Reactie gewijzigd door Rubén89 op 18 juli 2013 22:18]

En jij denkt echt dat, laten we zeggen de NSA met hun serverparkjes, je ww niet gewoon bruteforced als ze er écht in willen?
Dat ligt er maar net aan hoe jou spullen in elkaar zitten, als je na elke mislukte login een sleep toepast van 3 seconde en je hebt een ww van 12 karakters met hoofdletters, kleine letters, cijfers en leestekens dan wens ik ze veel succes ondanks hun enorme capaciteit.
En jij denkt echt dat, laten we zeggen de NSA met hun serverparkjes, je ww niet gewoon bruteforced als ze er écht in willen?
Nee hoor van alle account waarvan ze nu het password hebben, hebben ze nu geen oog meer voor, die zijn veilig.
Alle account die nu ineens (of sinds het begin) hun security verhogen : die zijn interessant, zijn (denken) dat ze wat te verbergen hebben }>
Ik vindt het een erg vreemd verhaal, waarom zou BlackBerry de e-mail wachtwoorden van e-mailaccounts doorzenden???
Bij de vereenvoudigde mail setup hoef je alleen maar je mailadres en wachtwoord in te vullen. Ik vermoed (weet het bijna wel zeker) dat die gegevens naar BlackBerry worden gestuurd om de rest van de benodigde data om je account in te stellen op te halen.
Gezien verschillende overheden al lang tappen bij RIM ben of je of veel te laat tot deze conclusie gekomen of veel te naief geweest tot op heden...

Voor die functionaliteit konden ze immers altijd al bij je e-mail. Met BB10 kun je, zoals reeds gemeld is, ook zonder BIS/BES/extra duur abo (maar wel een van de weinige - zo niet enige - met wereldwijd afkoopbaar abo voor e-mail sync). Met dat extra abo heb je uiteraard wel allemaal extra functies die niet in de disclaimer staan. Zoals gratis screening (maar geen rapportage ;)) door verschillende veiligheidsdiensten :P.

nieuws: India gaat BlackBerry-diensten niet blokkeren
Nee, naïef ben ik niet.

Het leek mij een verstandigere keus dan (bijvoorbeeld) een OS dat ontwikkeld én uitgegeven wordt door een bedrijf dat haar geld verdient met puur en alleen het verzamelen van informatie over haar gebruikers en het aan de hand daarvan voorschotelen van reclame.

Ik heb het dan ook niet over het al dan niet screenen van info door veiligheidsdiensten, maar over de totale onachtzaamheid waarmee BlackBerry met de privégegevens van haar gebruikers lijkt om te gaan.
Dat valt me tegen.

[Reactie gewijzigd door Rubén89 op 18 juli 2013 23:13]

Wat een ontzettend tendentieus artikel

Je kiest ZELF voor een onbeveiligde verbinding met je mailserver (dus door niet de SSL optie te nemen) en je passsword onbeveiligd over internet te versturen. Nu dat via een server van BB wordt gerelayed is er een beveiligingslek bij BlackBerry?

Wat had je verwacht, dat BlackBerry voor jou een SSL tunnel om je wachtwoord gaat bouwen omdat je ZELF kiest voor een onbeveiligde verbinding?
Helemaal mee eens. Na het goed lezen van het artikel (Duitse), is er geen echt beveilegings lek. Het vrij wel het zelfde als het oude bis, toen gaf je ook je gevens aan blackberry, maar nu is het in eens een probleem.

Na het testen van de communicatie, gaat het verkeer via de telefoon en niet via het blackberry netwerk. (Tenszij het BES is.) Er staat ook nergens dat de wachtwoorden worden opgeslagen, tewijl het met BIS wel zo is en dat was geen probleem :?

Volgens mij wordt er gewoon weer van een mug een olifant gemaakt.
Ja dat had ik verwacht ja... Dat veel mensen nogal dom zijn in hoe ze omgaan met hun data betekend niet dat je die gedachte moet volgens als bedrijf wat zich profileert veilige oplossingen te bieden, soms moet je voor je gebruikers denken.
Het lijkt me dat BB dit gebruikt om met BIS de third party mailserver te kunnen pollen of er nieuwe mail is. Veel gewone consumenten laten gmail, hotmail etc. email via BB binnenkomen, daarvoor moet de BIS server dus wel toegang hebben tot hun account.

Wel erg slordig dat dit niet versleuteld gebeurt.
Gebeurt bij de Samsung Galaxy S2 ook, iig voor exchange. Of het wel of niet versleuteld gebeurt weet ik alleen niet.
Interessant gegeven dat BB op het punt stond failliet te gaan, en het nu zgn. weer "goed" doet. Als argwanende vraag je je bij deze post direct af of bedrijven die niet mee willen doen aan het systematisch overmaken van gebruikersdata aan overheden subtiel uit de markt gedrukt worden. De macht van Amerikaanse, Britse en andere overheden is niet te onderschatten. Klinkt als een samenzwerings theorie, maar wordt door individuen als Snowden toch weer mooi naar buiten gebracht. Snowden is overigens genomineerd voor de Nobelprijs voor de vrede, om dezelfde Nobelprijs voor Barack "Yes We Scan" Obama te compenseren. Als iedereen met G/Yahoo/Hot/Outlook en nu ook BB mail systematisch de woorden "bomb", "terrorist", "Al Qaeda", "Osama bin Laden", etc. in zijn signature zet is het hele NSA/PRISM en wat dies meer zij programma verder zinloos.
Je vergist je in de mogelijkheden van datamining. Met statistische software kan uit een klein beetje persoonsgebonden data een enorme hoeveelheid informatie gewonnen worden. Bij Google search is die technologie al een tijd merkbaar aanwezig. Door het leggen van allerlei schijnbaar onlogische relaties tussen stukjes data, zelf verkregen of via derden lijken ze soms exact te weten wat je aan het doen bent zonder daar bewust iets over naar buiten gelaten te hebben. Met soortgelijke techniek kan erg nauwkeurig een profiel van iemand gemaakt worden.

ontopic: Dat krijg je met systemen die zelf de baas willen zijn. Veiligheidsrisico #1.
Hoe zit het eigenlijk met Android en iOS? Volgens mij zijn die allebei ook al een keer 'fout' gebleken. Het zou me niets verbazen als dat nog steeds zo is.

[Reactie gewijzigd door blorf op 18 juli 2013 20:19]

Als iedereen met G/Yahoo/Hot/Outlook en nu ook BB mail systematisch de woorden "bomb", "terrorist", "Al Qaeda", "Osama bin Laden", etc. in zijn signature zet is het hele NSA/PRISM en wat dies meer zij programma verder zinloos.
Dat heeft weinig zin. Je denkt toch niet dat de NSA op dat soort woorden scant? Dat is zinloos en dat weten zij zelf het beste. Als er 1 op de miljoen emails met die keywords iet met terrorisme te maken zal hebben is het veel. Het zal vrijwel uitsluitend gaan om emails met dingen als: "Erg hè, die Al Qaida aanslag?", "Onze leraar Frans lijkt wel een terrorist." en "Die nieuwe CD van Jay-Z is Da Bomb" en een hoop doorgestuurde nieuwsberichten over aanslagen, terrorisme etc. Ondertussen zal geen enkele echte potentiële terrorist zeggen "Kom laten we op dinsdag een aanslag plegen met een bomb op gebouw X".

Kortom, de NSA zal wel iets beters (geavanceerders) te doen hebben dan op dat soort keywords scannen.

[Reactie gewijzigd door Maurits van Baerle op 18 juli 2013 20:20]

Hoe kom je erbij dat BB op het punt stond failliet te gaan? Ze maakten minder winst en daardoor ontevreden aandeelhouders. Maar nog altijd een gezond bedrijf.
Prijs aandeel stond op $230 in 2007, daalde naar $7 in 2010 en nu pak hem beet $13. Al tijden gaat de discussie over een faillissement van BB wegens opkomst Android en iOS teostellen. Nu is er wel gereorganiseerd (5000 man eruit) en gaat het bedrijf verder onder een andere naam (van RIM naar Blackberry). Misschien niet per definitie failliet, maar een doorstart mag het wel genoemd worden.
word BlackBerry niet vooral gebruikt door zakelijke klanten?
mogelijk slaat BlackBerry de gegevens op zodat geheime diensten hiervan gebruik kunnen maken
Daar hebben mensen buiten de landen van die geheime diensten natuurlijk geen boodschap aan. Sterker nog, waarom zijn dit soort praktijken niet verboden?
Ik denk dat men dit doet om te controleren of dit een BES10 activatie is. Want het activeren van BES10 is het zelfde als het toevoegen van een normale mail account. Het is wel zeer ongelukkig dat dit voor non BES gebruikers minder veilig is.
Zo gauw zal BlackBerry niet dood zijn. Dit komt door de overname van QNX die BlackBerry een aantal jaar geleden heeft gedaan. http://n4bb.com/blackberr...market-heres-theyre-dead/

Verder kun je er op rekenen dat alles wat jij doet op een Android telefoon gelogt word op de servers van google en samen met je zoekresultaten van de zoekmachine en de andere diensten worden gecombineerd.
Right... ik zeg byebye Blackberry. Het ging al niet heel best met ze en dan nog ff zoiets er overheen nu er al genoeg NSA ophef is kan volgens mij geen goed doen voor hun marktaandeel.

Op dit item kan niet meer gereageerd worden.



Populair: Tablets Nokia Lumia 930 Nokia Lumia Smartphones Laptops Sony Apple Games Politiek en recht

© 1998 - 2014 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013