Bezpieczeństwo danych na MEGA pod znakiem zapytania
„Wszystkie Twoje dane na MEGA są zaszyfrowane kluczem pochodzącym z Twojego hasła; innymi słowy, Twoje hasło jest Twoim głównym kluczem szyfrowania. MEGA nie ma dostępu ani do Twojego hasła, ani Twoich danych. Używanie silnego i unikalnego hasła zapewni ochronę Twoich danych przed włamaniem i daje całkowitą pewność, że Twoje informacje pozostaną wyłącznie Twoje” – czytamy. Szwajcarski zespół ekspertów ds. bezpieczeństwa z ETH Zurich Department of Computer Science zadaje temu kłam.
Badacze twierdzą, że cyberprzestępcy mogą umieścić złośliwe pliki pośród przesłanych przez internautę danych, omijając, czy raczej: zaliczając pomyślnie wszystkie stopnie weryfikacji użytkownika. Jak?
Klient MEGA wyprowadza klucz uwierzytelniania i klucz szyfrowania z hasła. Klucz uwierzytelniania identyfikuje użytkowników MEGA. Klucz szyfrowania szyfruje losowo wygenerowany klucz główny, który z kolei szyfruje inny materiał klucza użytkownika. Każde konto ma zestaw kluczy asymetrycznych: parę kluczy RSA do udostępniania danych, parę kluczy Curve25519 do wymiany kluczy czatu dla funkcji czatu MEGA oraz parę kluczy Ed25519 do podpisywania innych kluczy. Ponadto, klient generuje nowy klucz dla każdego pliku lub folderu (łącznie określanych jako węzły) przesłanego przez użytkownika.
Krótko mówiąc, wszystkie klucze pochodzą w taki czy inny sposób z hasła. Wszystkie klucze są przechowywane na serwerach MEGA, aby zapewnić do nich dostęp z wielu urządzeń.
Ze względu na wadliwą ochronę integralności cyberprzestępca może odzyskać prywatny klucz udostępniania RSA użytkownika (używany do udostępniania kluczy plików i folderów) po 512 próbach logowania. Liczba ta wynosi dokładnie 512 ze względu na implementację RSA-CRT używaną przez klientów MEGA do zbudowania wyroczni, która przy każdej próbie logowania wycieka jeden bit informacji o współczynniku modułu RSA.
W rezultacie atakujący może odzyskać dowolny tekst zaszyfrowany za pomocą AES-ECB przy użyciu klucza głównego użytkownika. Obejmuje to wszystkie klucze używane do szyfrowania plików i folderów. W konsekwencji traci się poufność wszystkich danych użytkownika chronionych tymi kluczami, takich jak pliki i wiadomości na czacie.
MEGA potwierdziło lukę
Firma MEGA potwierdziła istnienie problemu 24 marca 2022 roku i wydała stosowne poprawki… 21 czerwca 2022 roku, przyznając badaczom nagrodę za błąd. Poprawka od MEGA różni się znacznie od tego, co zaproponowali badacze. Postanowiono zneutralizować tylko podstawową podatność, z której wynikała możliwość przeprowadzenia innych ataków.
Niestety, aktualizacja MEGA nie rozwiązuje problemu ponownego wykorzystania klucza, braku kontroli integralności i innych problemów systemowych, które zidentyfikowali badacze.
Na pocieszenie: przeciętny użytkownik MEGA nie ma powodu do niepokojów, zwłaszcza jeśli nie logował się w usłudze więcej niż 512 razy. Atakujący musiałby w niezauważony sposób uzyskać kontrolę nad serwerami API MEGA lub połączeniami TLS, aby wykonać którykolwiek z tych ataków.
Źródło: Malwarebytes, mega-awry.io