El akarta tussolni a QNX sebezhetőségét a BlackBerry

Nevéhez, illetve eddig képviselt személetéhez, értékrendjéhez kevéssé méltó kiberbiztonsági kálváriába keveredett az egykori okostelefon-nagyágyú, a BlackBerry egy a QNX operációs rendszert (is) érintő biztonsági rés kommunikációja kapcsán. A cég hosszú hónapokon keresztül igyekezett eltussolni a nagy nyilvánosság előtt, hogy a többek közt autók fedélzeti számítógépét, orvosi eszközöket, illetve akár nukleáris reaktorokat vezérlő szoftverben súlyos sebezhetőséget találtak. 

Az ominózus, több operációs rendszert is érintő BadAlloc nevű sebezhetőség kapcsán számos szoftvercég, így egyebek mellett a Microsoft is figyelmeztetést adott ki idén májusban, a kritikus infrastruktúrák biztonságáért felelős Cybersecurity and Infrastructure Security Agentcy (CISA) nevű, az Egyesült Államok belügyminisztériumához tartozó ügynökséggel együttműködésben.

Modern SOC, kiberhírszerzés és fenntartható IT védelem (x) Gyere el meetupunkra november 18-án, ahol valós használati eseteken keresztül mutatjuk be az IT-biztonság legújabb trendjeit.

A Politico információi szerint az ügynökség a BlackBerryt is megkereste az év első felében, mint a QNX operációs rendszer tulajdonosát, ám a kanadai vállalat először nem ismerte el, hogy a magas biztonsági kockázatú rendszereknél használt QNX támadható lenne a BadAlloc segítségével, majd közölte a CISA-val, hogy nem ad ki publikus figyelmeztetést a sebezhetőségről, hanem arról egyenként, privát csatornán keresztül értesíti ügyfeleit.

A kanadai cég végül belátta, hogy maga sem tudja pontosan meghatározni a QNX-végfelhasználók körét, így részben a CISA nyomására a publikus sérülékenységi figyelmeztetés közzététele mellett döntött.

A döntéshez tevékenyen hozzájárult, hogy az ügynökség a kanadai vállalattal történő tárgyalások során közölte, az ügy nemzetbiztonsági kockázatot vet fel, és az Amerikai Védelmi Minisztérium szükség esetén elő fogja írni a kanadaiak számára, hogy megadott határidőig tegyék közzé a publikus figyelmeztetést.