Tijdens het Chaos Communication Congres in Berlijn heeft de Duitse security groep Phenoelit een lek in de BlackBerry server software gevonden. Als een aanvaller een BlackBerry gebruiker zover weet te krijgen om een kwaadaardig PNG document te openen, dan kan de kwaadaardige code naar de BlackBerry server gestuurd worden, waarmee de aanvaller volledige controle krijgt. Die kan dan e-mails onderscheppen of de BlackBerry server gebruiken als springplank voor andere aanvallen binnen het netwerk.

De onderzoekers besloten de proprietary communicatie protocollen van de BlackBerry server te bekijken omdat die een ongewoon niveau van toegang binnen het bedrijfsnetwerk vereisen: De server moet binnen de bedrijfsnetwerk firewall en op een Windows machine worden gedraaid, die volledige en administratieve toegang tot de interne e-mail server van de klant heeft.

De Blackberry server, die alle encryptie sleutels beheert die nodig zijn voor het ontsleutelen van al het e-mail verkeer van en naar de BlackBerrys, worden op het netwerk in standaard tekst in een Micorosft SQL database server opgeslagen.

Het PNG lek is aanwezig in versie 4.0 tot 4.0.1.9, die een maand geleden werd uitgebracht en door veel bedrijven wordt gebruikt. Precieze details worden pas bekend gemaakt als er een update voor het probleem beschikbaar is. (Security Fix)