Ein Cybersicherheitsfehler in der von BlackBerry entwickelten Software könnte Autos und medizinische Geräte, die sie verwenden, gefährden und hochsensible Systeme Angreifern aussetzen, teilten die US-Arzneimittelbehörde und eine Bundesbehörde mit.
Die Warnung kam, nachdem das kanadische Unternehmen bekannt gegeben hatte, dass sein QNX Real Time Operating System (QNX RTOS) eine Schwachstelle aufweist, die es einem Angreifer ermöglichen könnte, einen beliebigen Code auszuführen oder einen Server mit Datenverkehr zu fluten, bis er abstürzt oder gelähmt wird.
Die Software wird von Automobilherstellern wie Volkswagen Group, BMW und Ford Motor Co. in vielen kritischen Funktionen einschließlich fortschrittlicher Fahrerassistenzsysteme verwendet.
Das Problem betrifft keine aktuellen oder neueren Versionen des QNX RTOS, sondern Versionen aus dem Jahr 2012 und früher, sagte BlackBerry und fügte hinzu, dass zu diesem Zeitpunkt keine Kunden angegeben haben, dass sie betroffen sind.
Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) sagte, dass die Software in einer Vielzahl von Produkten verwendet wird und ihre Kompromittierung “dazu führen könnte, dass ein böswilliger Akteur die Kontrolle über hochsensible Systeme erlangt, was das Risiko für die kritischen Funktionen der Nation erhöht”, sagte die CISA .
Die dem Department of Homeland Security unterstellte Bundesbehörde und das Unternehmen gaben an, dass ihnen noch kein Fall einer aktiven Ausnutzung des Fehlers bekannt sei.
Die US-amerikanische Food and Drug Administration gab bekannt, dass ihr keine unerwünschten Ereignisse bekannt seien, selbst wenn die Hersteller medizinischer Geräte beurteilen, welche Systeme betroffen sein könnten.
Das Unternehmen sagte auch, es habe potenzielle Kunden benachrichtigt, die betroffen sind, und Software-Patches zur Verfügung gestellt, um das Problem zu lösen.
BlackBerry hatte zunächst bestritten, dass die als BadAlloc bezeichnete Schwachstelle Auswirkungen auf seine Produkte hatte und weigerte sich später, eine öffentliche Ankündigung zu machen. Politik berichtet unter Berufung auf zwei Personen, die mit Gesprächen zwischen dem Unternehmen und Cybersicherheitsbeamten des Bundes vertraut sind, darunter ein Regierungsangestellter.