Hay un par de formas diferentes en que un BlackBerry podría considerarse más seguro que iOS / Android:
- El correo electrónico enviado a su BlackBerry a través de BlackBerry Enterprise Server (BES) se cifra utilizando un protocolo de extremo a extremo que es completamente independiente del sistema de autoridad de certificación pública [1]. Los atacantes con acceso a la red de telefonía móvil y las CA subordinadas firmadas legítimamente [2] pueden interceptar fácilmente todo su correo ActiveSync enviado a sus dispositivos iOS y Android. Esto no es posible con el correo de BlackBerry. En teoría, incluso RIM en sí no puede entrar en comunicación entre su teléfono y el servidor BES después del aprovisionamiento, que es la raíz de sus desacuerdos con los Emiratos Árabes Unidos y la India.
- BES proporciona una granularidad mucho mayor a sus controles de seguridad que la que está disponible en iOS y Android, aunque esta brecha se está cerrando gracias a los esfuerzos de los proveedores de MDM y compañías como 3LM (compañía).
- Las aplicaciones BlackBerry “clásicas” están escritas en Java contra las API J2ME, lo que reduce en gran medida la superficie de ataque contra el sistema operativo en comparación con iOS y Android.
- RIM integra estrechamente sus mecanismos de cifrado de hardware y software para proporcionar un nivel de protección de datos en un dispositivo perdido que actualmente no está disponible en iOS y Android.
Sin embargo, hay algunas formas significativas en que la sabiduría común sobre la seguridad de BlackBerry es incorrecta. Éstas incluyen:
- “La mensajería Blackberry-Blackberry es segura desde la intercepción”. Falso. Estos mensajes están encriptados con una clave simétrica compartida que se instala en cada Blackberry. Esta clave ha sido entregada a los gobiernos por RIM, e incluso si no hubiera sido así, la mayoría de los servicios de inteligencia podrían realizar ingeniería inversa fuera del sistema operativo BlackBerry. Es completamente posible para los adversarios con la capacidad de rastrear la red móvil para leer mensajes BBM. Esperaría que la mayoría de las agencias de aplicación de la ley del primer mundo y algunas en desarrollo ya lo hagan regularmente.
- “BlackBerries no puede ser hackeado”. Se demostró que esto era falso de manera muy convincente cuando un BlackBerry Torch fue víctima de un exploit WebKit durante el desafío Pwn2Own en CanSecWest este año [3]. BBOS está escrito en C ++, al igual que la mayoría de sus aplicaciones, y las fallas tradicionales de administración de memoria son aún más explotables en BlackBerry que en las últimas versiones de iOS y Android.
- “BlackBerries no puede ser infectado por aplicaciones maliciosas”. Esto solía ser parcialmente cierto en los días de J2ME, donde las aplicaciones de BlackBerry tenían capacidades muy limitadas, pero en estos días RIM ofrece un kit de desarrollo nativo con el que los desarrolladores pueden crear aplicaciones que se ejecutan fuera de la JVM. Esto es necesario para resolver el problema de “Angry Birds” para RIM, pero tiene el efecto secundario de crear el mismo potencial para aplicaciones maliciosas que en otras plataformas.
[1] Aquí está el documento de RIM que detalla su protocolo de cifrado: http://docs.blackberry.com/en/ad…
- ¿Cuáles son los principales cambios que Android ha introducido a lo largo de los años?
- ¿Cuál es el mejor navegador de internet para Android? ¿Por qué?
- ¿Cuál es la única aplicación de Android sin la que no puedes vivir y simplemente amar?
- ¿Por qué Tim Cook necesitaba atacar Android en WWDC 2014?
- ¿Por qué Wikipedia incluyó a Symbian en lugar de Android como el sistema operativo de código abierto?
[2] Los atacantes que definitivamente tienen esta capacidad incluyen los gobiernos de la República Popular de China, la Federación de Rusia, los Emiratos Árabes Unidos y los Estados Unidos de América. En general, recomendamos que los clientes no viajen internacionalmente con sus teléfonos inteligentes. Puede leer más sobre la inseguridad del sistema de CA aquí: https://www.eff.org/observatory
[3] http://www.zdnet.com/blog/securi…
