Исследователи усомнились в заявленной безопасности MEGA
https://www.securitylab.ru/upload/ib...eb74551d1c.png
Ученые из Швейцарской высшей технической школы Цюриха ETH Zurich выявили несколько критических уязвимостей в службе облачного хранилища MEGA, которые можно использовать для нарушения конфиденциальности и целостности пользовательских данных.
В документе под названием « MEGA: гибкое шифрование идет наперекосяк » исследователи отметили, что система MEGA не защищает своих пользователей и позволяет киберпреступнику получить доступ к загружаемым файлам. «Злоумышленник может внедрять вредоносные файлы, которые проходят все проверки подлинности клиента», — заявили эксперты ETH Zurich.
Пользователи MEGA находятся под угрозой взлома RSA ключа , которая позволяет злоумышленнику раскрыть закрытый RSA ключ пользователя, подделав 512 попыток входа в систему, и расшифровать сохраненный контент.
«После входа в систему общие папки, MEGAdrop файлы и чаты можно расшифровать. Файлы на облачном диске могут быть расшифрованы при последующих входах в систему», — сказал главный архитектор MEGA Матиас Ортманн,
Затем восстановленный RSA ключ можно расширить для последующих атак, чтобы выполнить следующие действия:<ul><li>Расшифровать все сообщения и файлы пользователя;</li>
</ul><ul><li>Вставлять произвольные файлы в хранилище пользователя;</li>
</ul><ul><li>Подделать имя файла для размещения его в облаке жертвы;</li>
</ul><ul><li>Расшифровать RSA, используемый платформой MEGA для шифрования данных пользователя и данных, которыми он поделился.</li>
</ul>«Уязвимости могут быть использованы, если киберпреступник незаметно скомпрометировал API-серверы MEGA или TLS-соединения. Злоумышленник может загрузить произвольные данные и расшифровать все файлы и сообщения жертвы», — отметил Ортманн.
По словам MEGA , о скомпрометированных учетных записях сервису не сообщалось. Также платформа пообещала исправить ошибки в следующем выпуске.