Het aansluiten van een BlackBerry-smartphone op een Windows-pc of een Mac zorgt ervoor dat die computer automatisch wordt opengezet voor aanvallers. Via een autorun-instelling om de beheersoftware BlackBerry Link te installeren, wordt ook webserver nginx geïnstalleerd. Die open source-software staat dan ingesteld om dienst te doen als WebDAV-server waarbij het de Appdata-map deelt, voor lezen én schrijven.

Zonder toegangscontrole of authenticatie

Dit gebeurt "zonder toegangscontrole of authenticatie", ontdekt security-onderzoeker Tavis Ormandy. "Dit ziet er fout uit om meerdere redenen", blogt hij. BlackBerry schendt hiermee niet alleen het securitymodel van Windows NT (wat nog altijd dienst doet in hedendaagse Windows-versies). Het door de WebDAV-server gebruikte adres wordt ook bekendgemaakt via multicast DNS. "Zodat iedereen op het netwerk het kan zien." Hierdoor zijn computers dus kwetsbaar voor het op afstand uitvoeren van code (RCE, remote code execution).

Ormandy geniet bekendheid om zijn diverse vondsten van grote, fundamentele gaten in uiteenlopende software als Windows, Linux en ook Sophos Antivirus. De gatenjager, die in dienst is van Google, is ook omstreden vanwege zijn overtuiging dat openbaarmaking van kwetsbaarheden belangrijker is dan wachten totdat een leverancier met een patch komt.

Patchen maar

Die praktijk van full disclosure lijkt ditmaal niet aan de orde te zijn. Ormandy stelt in zijn blogpost over zijn ontdekking dat RIM (wat tegenwoordig BlackBerry heet) het gat vandaag gaat dichten. Het door hem genoemde CVE-nummer van deze kwetsbaarheid heeft dan ook de status 'gereserveerd'.