BlackBerry ha rilasciato un avviso di sicurezza che descrive un vulnerabilità critica sui privilegi/permessi nel sistema operativo BlackBerry OS 10. Questo bug interessa solo le versioni che hanno preceduto la release 10.0.10.648 e solo i modelli BlackBerry Z10 e Q10 dotati di BlackBerry OS 10.1.
L'exploit utilizza BlackBerry Protect, un servizio che permette agli utenti di gestire il proprio dispositivo senza dover utilizzare il BlackBerry Enterprise Service (BES). Protect, molto simile a BES, consente di rintracciare i dispositivi persi, bloccare o cancellare i dati e reimpostare la password. Si può anche eseguire il backup e il ripristino dei dati. Per impostazione predefinita Protect è disattivata e per essere utilizzata deve essere attivata dall'utente.
Belli e potenti, i due dispositivi della riscossa di BlackBerry hanno qualche baco da sistemare. Saremmo curiosi di vedere quanti ne salterebbero fuori se il sistema fosse più usato di quanto non lo sia oggi.
Oltre a dover abilitare Protect, l'utente deve comunque installare una applicazione maligna (non è ben chiaro quale sia), che si occupa di compromettere un componente di Protect, in modo che si possa intercettare la reimpostazione della password. Questa operazione richiede che l'utente, o qualcuno che conosce il BlackBerry ID e la password, debba collegarsi al sito Web di BlackBerry Protect e richiedere una nuova password.
La componente Protect, compromessa dall'applicazione dannosa, può fare in modo che un hacker venga a conoscenza della nuova password del dispositivo. Se avesse accesso fisico al dispositivo, potrebbe quindi accedere come l'utente "vero". In caso contrario, potrebbe intercettare solo eventuali file condivisi tramite Wi-Fi, sempre che l'utente "reale" abbia attivato questa funzione sul proprio device. BlackBerry consiglia agli utenti di aggiornare il software del dispositivo almeno alla versione 10.0.10.648.
