Einer der weltweit beliebtesten Anbieter von Cloud-Speicherdiensten (öffnet sich in einem neuen Tab) wies mehrere schwerwiegende Schwachstellen auf, die es Bedrohungsakteuren ermöglichten, sogar verschlüsselte Dateien (öffnet sich in einem neuen Tab) zu lesen, wie Forscher herausfanden.
Ein Team der ETH Zürich hat fünf Schwachstellen in der Mega-Plattform entdeckt, bei denen es um den Diebstahl und die Entschlüsselung eines RSA-Schlüssels (einem privaten Schlüssel basierend auf dem RSA-Algorithmus) geht.
Das Team entdeckte die Mängel Ende März dieses Jahres und meldete sie dem Unternehmen. Bald veröffentlichte Mega Korrekturen und Abhilfemaßnahmen für einige der Störungen, während die Korrekturen für andere noch andauern. Die Patches hätten keinen Einfluss auf das Benutzererlebnis und verlangten von den Benutzern keine Neuverschlüsselung ihrer gespeicherten Daten, hieß es. Sie müssen auch keine Passwörter ändern oder neue Schlüssel erstellen.
Ideal für unzufriedene Mitarbeiter.
Obwohl die Korrekturen nicht für alle Störungen verfügbar sind, sind sie auf jeden Fall eine schlechte Nachricht, aber die gute Nachricht ist, dass Mega bisher noch niemanden gesehen hat, der sie in freier Wildbahn ausnutzt. Es gibt keinen konkreten Zeitplan, wann die verbleibenden Patches veröffentlicht werden.
In einer Videoerklärung des Fehlers sagten die Forscher, dass der Angriff auf der Annahme des verglichenen Primfaktors basiert und dass der Angreifer mindestens 512 Verbindungsversuche benötigen würde, um einen Endpunkt zu durchbrechen (öffnet sich in einem neuen Tab). . Darüber hinaus benötigen sie auch Zugriff auf die Server von Mega, was bedeutet, dass Schwachstellen für externe Bedrohungen nicht unbedingt realisierbar sind.
Für Insider oder verärgerte Mitarbeiter ist das jedoch eine ganz andere Geschichte.
„Zu beobachten, wie scheinbar harmlose kryptografische Design-Abkürzungen, die vor fast einem Jahrzehnt eingeführt wurden, bei drei der klügsten Köpfe der Branche nach hinten losgehen, ist sowohl erschreckend als auch intellektuell faszinierend“, sagte Mega in einer Erklärung.
„Die sehr hohe Ausnutzbarkeitsschwelle bietet trotz der Vielzahl identifizierter kryptografischer Schwachstellen eine gewisse Erleichterung.“
Eine detaillierte Aufschlüsselung des Fehlers und der Gegenmaßnahmen von MEGA finden Sie unter diesem Link (öffnet sich in einem neuen Tab).
Über: BleepingComputer (Öffnet in einem neuen Tab)