Android-Apps in Sandbox
Auch der Android-Player, der für Googles Betriebssystem geschriebene Apps ausführt, nutzt eine Sandbox. Android-Anwendungen lassen sich nur im privaten Bereich einsetzen. Die überall beschworene Kompatibilität mit Android Apps spielt somit in einem dienstlichen Kontext aktuell noch keine Rolle.
Damit ein Entwickler eine App in der BlackBerry World anbieten kann, muss er sie digital signieren. Dazu benötigt er einen Schlüssel von BlackBerry und muss dem Hersteller das Programm zur Prüfung und Genehmigung vorlegen. Nur mit der gültigen Signatur, die seine Integrität garantiert, lässt es sich auf dem Endgerät ausführen. Ferner scannt das Unternehmen mit dem Dienst eines Drittanbieters alle Anwendungen in seinem elektronischen Laden auf Schadsoftware. Der Download daraus erfolgt jedoch unverschlüsselt per HTTP-Protokoll.
Unsignierten Code könnten Entwickler mit Hilfe der Debug-Werkzeuge auf einem Endgerät ausführen (Sideloading). Bei Produktivgeräten sollte man das durch geeignete Regeln unterbinden, denn sonst ließen sich auch Apps aus inoffiziellen Quellen installieren.
Außerdem gibt es eine wenig bekannte Möglichkeit, Programme ohne Debug Token und ohne Signierung auszuführen: Das sind native QNX-Programme, die man mit der QNX Software Development Platform erstellt hat.
Für jede installierte Anwendung legt BB10 einen Ordner im Verzeichnis "/apps" an. Andere Verzeichnisse im "/apps"-Ordner oder die Daten anderer Apps in "/accounts/*/appdata" kann das Programm nicht lesen. Die von ihm benötigten Anforderungen an Sicherheits- und Datenschutzrechten enthält eine mitgelieferte Manifestdatei. Die Verwendung von Systemfunktionen, etwa der Kamera, muss der Anwender bestätigen. Er kann diese Zustimmung jederzeit widerrufen. Unabhängig davon hat der Administrator die Möglichkeit, diese Features generell abzuschalten.
BB10 enthält erstmals einige weniger offensichtliche Sicherheitsfunktionen wie ASLR (address space layout randomization), DEP (data execution prevention) und Stack Cookies, die das Eindringen über App-Schwachstellen erschweren sollen.
Jedes Gerät nutzt einen Mechanismus, der verifiziert, dass der Code im Boot-ROM auf dem Gerät ausgeführt werden darf. Der Hersteller schreibt diesen Code in den Prozessor und signiert ihn mit einem privaten RSA-Schlüssel. Das Gerät speichert dabei die Informationen ab, um die digitale Signatur des boot ROM Codes zu verifizieren.
Nur wenn Signaturprüfung des Boot-ROM-Code erfolgreich verläuft, startet das Betriebssystem. So will BlackBerry JailBreaks sicher erkennen und verhindern.
Zurzeit bietet noch kein Hersteller Schutzsoftware gegen Schadsoftware für BB10-Geräte an. Dadurch besteht zwar das abstrakte Risiko einer Infektion -- allerdings scheint bislang noch keine BB10-Schädlinge zu geben. Einen weiteren Schwachpunkt, den sich BlackBerry 10 mit iOS teilt, ist das Fehlen einer Firewall. Nach Einschätzung von BlackBerry ist ein solches Sicherheits-Gateway unnötig, weil das Sandboxing der Apps Attacken über Netz verhindere. Denkbar ist trotzdem, dass Angreifer versuchen, Pakete einzuschleusen, die eine bisher unentdeckte Schwachstelle ausnutzen.
Apps laufen auf BlackBerry-Geräten zwar in einer geschützten Umgebung, die den direkten Zugriff auf das Betriebssystem nicht erlaubt. Dieser Schutz wirkt jedoch nicht oder nur eingeschränkt, wenn ein kompromittiertes Betriebssystem anderen Apps den Zugriff erlaubt oder selbst unerlaubt auf Daten zugreift. Hier muss die Praxis zeigen wie zuverlässig Balance die Trennung gewährleisten kann.
Fazit
Das Hauptproblem bei auch beruflich genutzten Smartphones, nämlich die Trennung dienstlicher und privater Daten, geht BB10 mit Balance ziemlich elegant an. Allerdings benötigt man dafür einen BES, was die Datentrennung gerade für Selbständige und Freiberufler aufwendig gestaltet. Dafür erscheinen die Maßnahmen, um ein Eindringen in das System zu verhindern ziemlich wirkungsvoll. Zum ersten Mal liefert BlackBerry ein System, das alle Binärdateien selbst ausführt und wie alle anderen Smartphones per Internet kommuniziert. (mb/hal)