ETH Zürih, firmanın kriptografik altyapısında kusurlar buluyor
MEGA, depolama hizmetinin tasarımı gereği özel olduğunu iddia ediyor, ancak araştırmacılara göre, teknoloji “ciddi” güvenlik sorunlarıyla dolu.
Yeni Zelanda merkezli MEGA, birden fazla kişiye uçtan uca şifreleme sunan bir bulut depolama hizmeti ve mesajlaşma platformudur. 250 milyon kullanıcı. MEGA ayrıca kullanıcıların sesli ve görüntülü arama yapmasına da olanak tanır.
Şirket kendisine “sıfır bilgi” diyor şifreleme “tasarım gereği gizlilik” ile oluşturulmuş hizmet.
“MEGA’daki tüm verileriniz, şifrenizden türetilen bir anahtarla şifrelenir; başka bir deyişle, şifreniz ana şifreleme anahtarınızdır” diyor kuruluş. “MEGA’nın şifrenize veya verilerinize erişimi yok.”
Yine de, ETH Zürih Üniversitesi’ne göreİsviçre merkezli, platformun derinlemesine test edilmesi, pazarlamanın aksini iddia etmesine rağmen, “sağlayıcının müşteri verilerinin şifresini çözmesine ve manipüle etmesine izin verecek güvenlik açıklarını” ortaya çıkardı.
ETH Zürih kriptografi araştırmacıları Matilda Backendal, Miro Haller ve Profesör Kenneth Paterson, MEGA’nın kaynak kodunu ve kriptografik mimarisini analiz ederek toplam beş şifreyi ortaya çıkardı. güvenlik açıkları.
Şifreleme kırıldı
Ekip, MEGA platformunun bir bölümünü yeniden oluşturduktan ve kendi hesaplarını kaba kuvvetle çalıştırmaya çalıştıktan sonra, bir ana anahtar kullanmanın hizmette “temel” bir zayıflığı temsil ettiğini keşfettiklerini söylüyor.
A kağıt (PDF), kusuru açıklayan MEGA istemcisinin bir kullanıcının şifresinden bir kimlik doğrulama anahtarı türettiğini söylüyor. Bu anahtar daha sonra diğer anahtar materyallerini, dosyaları ve daha fazlasını şifrelemek için kullanılır.
Araştırmacılara göre, anahtar içeren şifreli metinlerin bütünlük korumasının olmaması, ana anahtarın ve genel şifreleme sisteminin gizliliğini bozuyor. Bu, bütünlük saldırılarına, RSA anahtarına ve düz metin kurtarma saldırılarına izin verir ve bir RSA şifre çözme saldırı vektörü oluşturur.
Bulut güvenliğiyle ilgili en son haberleri yakalayın
Yalnızca bir oturum kimliğini ele geçirerek, bir MEGA hesabına girmek için maksimum 512 oturum açma denemesi gerekir.
Araştırmacılar, “MEGA yazılım programının kurbanın bilgisayarında ek bir manipülasyonu, kullanıcı hesaplarını sürekli olarak otomatik olarak oturum açmaya zorlayabilir” dedi. “Bu, anahtarı tam olarak ortaya çıkarmak için gereken süreyi yalnızca birkaç dakikaya kısaltıyor.”
O zaman MEGA platformunda kullanılan diğer anahtarları tehlikeye atmak mümkün olabilir.
Potansiyel saldırı sonrası vektörler, kullanıcı verilerinin çalınmasını ve hatta yasa dışı veya tehlikeli görseller ve videolar gibi dosyaların yüklenmesini, hesabın kilitlenmesini ve ardından hedeflenen kişiye şantaj yapılmasını içerebilir.
MEGA yanıtı
Paterson, ekibin bulgularını 24 Mart’ta MEGA’ya bildirdiğini ve güvenlik açıklarını çözmenin yollarını önerdiğini söyledi.
Araştırmacıya göre, MEGA görünüşe göre “önerdiğimizden farklı şekillerde tepki vermeye karar vermiş” olsa da, RSA anahtarındaki ilk saldırı vektörü şimdi yamalandı.
Yorum için yaklaşıldığında, MEGA bizi bir güvenlik danışmanlığı bu da ilk düzeltmenin yayınlandığını ve ek yamalar geliştirildiğini söylüyor.
MEGA’ya göre, yalnızca hesaplarına en az 512 kez giriş yapan müşteriler risk altında olabilir – ve bu, mevcut oturumların devam ettirilmesini içermez.
Ayrıca kuruluş, kriptografik kusurlardan yararlanmak için saldırganların “MEGA’nın sunucu altyapısının kalbi üzerinde kontrolü ele geçirmesi veya başarılı bir sonuç elde etmesi gerektiğini söylüyor. adam[ipulator]-ortadaki saldırı kullanıcının MEGA’ya TLS bağlantısında”.
Firma, “Bildirilen güvenlik açıkları, MEGA’nın belirli kullanıcılarına karşı kötü bir aktör haline gelmesini gerektirebilirdi veya aksi takdirde, başka bir taraf fark edilmeden MEGA’nın API sunucularını veya TLS bağlantılarını tehlikeye atarsa istismar edilebilirdi” diye ekledi.
Günlük Swig bu tepkiyi, MEGA’nın yalnızca tespit ettikleri güvenlik eksikliklerinden bazılarını çözdüğünü söyleyerek yanıt veren ETH Zürih’teki araştırmacılara iletti:
Gazetenin web sayfasında detaylandırıldığı gibi [1], 24 Mart 2022’de MEGA ile iletişime geçerek güvenlik açıkları hakkında bilgi verdik. Aynı gün cevap verdiler ve sorunu kabul ettiler. Boyunca çok açık ve iletişimseldiler. Açıklamamızın bir parçası olarak, onlara ‘derhal’ ile ‘önerilen’ arasında değişen üç önlem seti sağladık.
MEGA, beş saldırımızdan ilk üçüne karşı koruma sağlayan farklı bir yama kullanmaya karar verdi. Bununla ilgili daha fazla bilgiyi blog yazılarında okuyabilirsiniz. [2]. Saldırılarımıza (ve diğerlerine) karşı MEGA’nın kararlaştırdığı düzeltmeden daha sağlam bir şekilde koruyacağına inandığımız önerilen karşı önlemlerimizi sürdürmeye devam ediyoruz.
BUNU DA BEĞENEBİLİRSİN Oracle, Middleware Fusion, bulut hizmetlerini etkileyen ‘mucize yararlanma’ yamaları