Mega dice que no puede descifrar sus archivos.  El nuevo exploit POC muestra algo diferente

Aurich Lawson | imágenes falsas

En la década transcurrida desde que la figura más grande de la vida, Kim, fundó Dotcom Mega, el servicio de almacenamiento en la nube acumuló 250 millones de usuarios registrados y almacenó la friolera de 120 mil millones de archivos que ocupan espacio. más de 1.000 petabytes de almacenamiento Un punto de venta clave que ha contribuido al crecimiento es una promesa extraordinaria que ningún competidor Mega de primer nivel hace: ni siquiera Mega puede descifrar los datos que almacena.

Por ejemplo, en la página de inicio de la empresa, Mega presenta una imagen que compara sus ofertas con Dropbox y Google Drive. Además de los precios más bajos de Mega, la comparación destaca que Mega ofrece cifrado de extremo a extremo, mientras que los otros dos no.

Screenshot 2022 06 21 11.46.15 AM

A lo largo de los años, la compañía ha seguido recordándole al mundo este objetivoDistinción, que quizás se resuma mejor en esta publicación de blog. En él, la compañía afirma: “Mientras se asegure de que su contraseña sea lo suficientemente fuerte y única, nadie podrá acceder a sus datos en MEGA. Incluso en el caso extremadamente improbable, ¡toda la infraestructura de MEGA será confiscada!» (énfasis añadido).

Los revisores externos estuvieron muy felices de estar de acuerdo, citando el mega reclamo al recomendar el servicio.

Una década de garantías negadas

La investigación publicada el martes muestra que la afirmación de que Mega, o una empresa que controla la infraestructura de Mega, no puede acceder a los datos almacenados en el servicio es falsa. Los autores dicen que la arquitectura que utiliza Mega para encriptar archivos está plagada de fallas criptográficas básicas que hacen que sea trivial para cualquiera que tenga el control de la plataforma lanzar un ataque de recuperación de clave completa a los usuarios una vez que inician sesión con la suficiente frecuencia y se han registrado. Con él, la parte malintencionada puede descifrar archivos almacenados o incluso cargar archivos incriminatorios o dañinos a una cuenta; Estos archivos son indistinguibles de los datos reales cargados.

«Demostramos que el sistema de MEGA no protege a sus usuarios de un servidor malicioso y presenta cinco ataques distintos que juntos permiten un compromiso total de la confidencialidad de los archivos del usuario», escribieron los investigadores en un sitio web. «También rompe la integridad de los datos del usuario en el sentido de que un atacante puede inyectar archivos maliciosos de su elección que pasan todos los controles de autenticidad del cliente. Creamos versiones de prueba de concepto de todos los ataques para demostrar su practicidad y explotabilidad».

Después de que Mega recibió en privado el informe de los investigadores en marzo, el martes Mega comenzó a implementar una actualización que hace que los ataques sean más difíciles de realizar. Sin embargo, los investigadores advierten que el parche proporciona solo un medio «ad hoc» para frustrar su ataque de recuperación de claves y no aborda el problema de la reutilización de claves, las comprobaciones de integridad faltantes y otros problemas sistémicos que identificaron. Dado que el ataque de recuperación de clave precisa de los investigadores ya no es posible, las otras vulnerabilidades descritas en la investigación tampoco son posibles, pero la falta de una solución integral les preocupa.

«Esto significa que si los requisitos previos para los otros ataques se cumplen de otras maneras, aún pueden explotarse», escriben los investigadores en un correo electrónico. «Como tal, no estamos apoyando este parche, pero el sistema ya no será vulnerable a la cadena exacta de ataques que propusimos».

Mega ha publicado un aviso aquí. Sin embargo, el presidente del servicio dice que no tiene planes de revisar las promesas de que la empresa no puede acceder a los datos de los clientes.

«Durante un breve período de tiempo, un atacante tuvo la oportunidad de negar nuestro compromiso en circunstancias muy limitadas y para muy pocos usuarios, pero eso ahora se ha rectificado», escribió el presidente Stephen Hall en un correo electrónico.



DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí

quince − ocho =