El akarta tussolni a QNX sebezhetőségét a BlackBerry
Többek közt autók (tíz)millióinak fedélzeti rendszere, illetve orvosi berendezések lehetnek kibertámadásnak kitéve egy a QNX operációs rendszert is érintő sebezhetőség révén. A biztonsági rés létezését a rendszer tulajdonosa, az egykori okostelefon-gyártó BlackBerry először tagadta, majd hónapokig halogatta a nagy nyilvánosság tájékoztatását.
Nevéhez, illetve eddig képviselt személetéhez, értékrendjéhez kevéssé méltó kiberbiztonsági kálváriába keveredett az egykori okostelefon-nagyágyú, a BlackBerry egy a QNX operációs rendszert (is) érintő biztonsági rés kommunikációja kapcsán. A cég hosszú hónapokon keresztül igyekezett eltussolni a nagy nyilvánosság előtt, hogy a többek közt autók fedélzeti számítógépét, orvosi eszközöket, illetve akár nukleáris reaktorokat vezérlő szoftverben súlyos sebezhetőséget találtak.
Az ominózus, több operációs rendszert is érintő BadAlloc nevű sebezhetőség kapcsán számos szoftvercég, így egyebek mellett a Microsoft is figyelmeztetést adott ki idén májusban, a kritikus infrastruktúrák biztonságáért felelős Cybersecurity and Infrastructure Security Agentcy (CISA) nevű, az Egyesült Államok belügyminisztériumához tartozó ügynökséggel együttműködésben.
Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.
A Politico információi szerint az ügynökség a BlackBerryt is megkereste az év első felében, mint a QNX operációs rendszer tulajdonosát, ám a kanadai vállalat először nem ismerte el, hogy a magas biztonsági kockázatú rendszereknél használt QNX támadható lenne a BadAlloc segítségével, majd közölte a CISA-val, hogy nem ad ki publikus figyelmeztetést a sebezhetőségről, hanem arról egyenként, privát csatornán keresztül értesíti ügyfeleit.
A kanadai cég végül belátta, hogy maga sem tudja pontosan meghatározni a QNX-végfelhasználók körét, így részben a CISA nyomására a publikus sérülékenységi figyelmeztetés közzététele mellett döntött.
A döntéshez tevékenyen hozzájárult, hogy az ügynökség a kanadai vállalattal történő tárgyalások során közölte, az ügy nemzetbiztonsági kockázatot vet fel, és az Amerikai Védelmi Minisztérium szükség esetén elő fogja írni a kanadaiak számára, hogy megadott határidőig tegyék közzé a publikus figyelmeztetést.