MEGA correcciones de fallos críticos que permite el descifrado de los datos de usuario

MEGA ha publicado una actualización de seguridad para tratar una serie de graves vulnerabilidades que podrían haber expuesto los datos de usuario, incluso si los datos se han almacenado en forma encriptada.

MEGA es una Nueva Zelanda basado en la nube de almacenamiento y servicio de alojamiento de archivos con más de 250 millones de usuarios registrados de más de doscientos países. Los usuarios colectivamente han subido una masiva 120 mil millones de archivos distintos que asciende a 1000 petabytes en tamaño.

Uno de los MEGA anunciados por las características es que los datos de extremo a extremo de cifrado, con sólo el usuario que tenga acceso a la clave de descifrado. Sin embargo, los investigadores han demostrado que las vulnerabilidades en el algoritmo de cifrado que les permitió el acceso de los usuarios a los datos cifrados.

Las vulnerabilidades en MEGA esquema de cifrado fueron descubiertos por investigadores del ETH de Zurich, en Suiza, que lo denunció a la empresa de manera responsable el 24 de Marzo de 2022.

Mientras que los investigadores descubrieron cinco posibles ataques contra los datos de usuario que dependen de un número igual de defectos, todas se basan en el robo y descifrar una clave RSA.

five-attacks

MEGA no es consciente de cualquier peligro las cuentas de usuario o datos mediante la explotación de la descubrió fallas. Sin embargo, este hallazgo se crea un hueco en el servicio de seguridad de datos de promesas.

Descifrar MEGA

MEGA utiliza un sistema de control de extremo a extremo de cifrado (UCE) para proteger los datos del usuario, incluso de acceso interno. La base de este sistema es una clave de cifrado generada a partir de un usuario regular de contraseña de inicio de sesión.

A continuación, el maestro de claves es generado a través de un proceso aleatorio y se utiliza para la posterior cifrado de un subconjunto de claves, incluyendo un par de claves RSA, una Curva clave que se utiliza para la funcionalidad de chat, Ed llave de la firma, y el Nodo de teclas.

key-hierarchy

La clave RSA de cada usuario se almacena en megas servidores sin protección de integridad.

La ETH de Zúrich equipo descubrió una nueva manera de realizar un man-in-the-middle ataque que puede recuperar las claves RSA de las específicas MEGA cuentas.

Este ataque se basa en el primer factor de adivinar a través de la comparación y requiere de al menos 512 intentos de inicio de sesión de trabajo. Por otra parte, el adversario tendría acceso megas servidores para llevar a cabo el ataque.

Esto es muy complicado y por lo general difícil para outsider amenazas, pero no sería tan difícil para rogue/no ético MEGA empleados.

Una vez que un objetivo de la cuenta de claves RSA fugas del usuario ciphertexts, el atacante puede trabajar hacia atrás para recuperar la AES-BCE de la clave maestra en texto plano y luego descifrar la clave de todo el subconjunto.

Finalmente, el atacante puede descifrar los datos de usuario almacenados en la MEGA en la nube, acceder a los chats en texto sin cifrar de forma, e incluso subir nuevo contenido a la cuenta del repositorio.

Remedio y las implicaciones

MEGA ha fijado las dos vulnerabilidades que pueden conducir al usuario de descifrado de datos en todos los clientes (RSA clave de la recuperación y el texto de la recuperación), mitigado un tercero (framing), y los planes para abordar los dos restantes de la descubrieron problemas en las próximas actualizaciones.

Las correcciones no son perfectas contramedidas, pero que no tienen impacto en la experiencia del usuario y no se exigirá a los usuarios a volver a cifrar sus datos almacenados, cambiar su contraseña, o crear nuevas claves.

El proveedor de servicios cloud afirma que no hay signos de cuentas de usuario o datos de los que se accede de forma inadecuada, ya sea de los de adentro o de afuera.

"Viendo cómo aparentemente inocuo de cifrado de diseño de los accesos directos tomada hace casi una década contraproducente bajo escrutinio por parte de tres del sector de las mentes más brillantes es tanto aterrador e intelectualmente fascinante," comentarios MEGA en los resultados.

"El umbral muy alto de explotabilidad, a pesar de la amplia gama de identificado criptográficos defectos, proporciona una cierta sensación de alivio."

A pesar de las garantías por MEGA de que los datos no se vio comprometida, la investigación ha anuló MEGA de datos de garantías de confidencialidad que les diferencian de la competencia por más de una década.

 

Fuente: Bleepingcomputer.

Comments are closed.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies