Eine neue Forschungsarbeit von Wissenschaftlern der ETH Zürich hat eine Reihe von kritischen Sicherheitslücken im MEGA-Cloud-Speicherdienst identifiziert, die dazu genutzt werden könnten, die Vertraulichkeit und Integrität von Nutzerdaten zu brechen.
In einem Papier mit dem Titel „MEGA: Malleable Encryption Goes Awry“ (MEGA: Verformbare Verschlüsselung geht schief) weisen die Forscher darauf hin, dass das System von MEGA seine Nutzer nicht vor einem bösartigen Server schützt und es somit einem Schurken ermöglicht, die Privatsphäre der hochgeladenen Dateien vollständig zu gefährden.
„Darüber hinaus wird die Integrität der Nutzerdaten in dem Maße beschädigt, dass ein Angreifer bösartige Dateien seiner Wahl einfügen kann, die alle Authentizitätsprüfungen des Clients passieren“, so Matilda Backendal, Miro Haller und Kenneth G. Paterson von der ETH Zürich in einer Analyse der kryptografischen Architektur des Dienstes.
MEGA, das sich selbst als „Privacy Company“ bezeichnet und behauptet, einen nutzergesteuerten, Ende-zu-Ende-verschlüsselten Cloud-Speicher anzubieten, hat mehr als 10 Millionen täglich aktive Nutzer/innen, die bis heute über 122 Milliarden Dateien auf die Plattform hochgeladen haben.
Eine der größten Schwachstellen ist ein RSA-Schlüsselwiederherstellungsangriff, der es MEGA (das selbst böswillig handelt) oder einem findigen nationalen Gegner, der die API-Infrastruktur kontrolliert, ermöglicht, den privaten RSA-Schlüssel eines Nutzers durch Manipulation von 512 Anmeldeversuchen wiederherzustellen und die gespeicherten Inhalte zu entschlüsseln.
„Sobald ein betroffenes Konto genügend erfolgreiche Anmeldeversuche unternommen hatte, konnten eingehende freigegebene Ordner, MEGAdrop-Dateien und Chats entschlüsselt werden“, sagte Mathias Ortmann, MEGAs Chefarchitekt, als Reaktion auf die Ergebnisse. „Die Dateien im Cloud-Laufwerk hätten bei nachfolgenden Anmeldungen nacheinander entschlüsselt werden können.
Der wiederhergestellte RSA-Schlüssel kann dann erweitert werden, um Platz für vier weitere Angriffe zu schaffen –
Klartext-Wiederherstellungsangriff, der es MEGA ermöglicht, Knotenschlüssel zu entschlüsseln – ein Verschlüsselungsschlüssel, der mit jeder hochgeladenen Datei verknüpft ist und mit dem Hauptschlüssel eines Benutzers verschlüsselt wird – und sie zur Entschlüsselung der gesamten Benutzerkommunikation und der Dateien zu verwenden.
Framing-Attacke, bei der MEGA beliebige Dateien in den Dateispeicher des Nutzers einfügen kann, die von den tatsächlich hochgeladenen Dateien nicht zu unterscheiden sind.
Integritätsangriff, eine weniger getarnte Variante des Framing-Angriffs, bei dem eine Datei im Namen des Opfers gefälscht und im Cloud-Speicher des Ziels abgelegt werden kann, und
Guess-and-Purge (GaP) Bleichenbacher-Angriff, eine Variante des Adaptive chosen-ciphertext-Angriffs, der 1998 vom Schweizer Kryptographen Daniel Bleichenbacher entwickelt wurde und zur Entschlüsselung von RSA-Chiffretexten genutzt werden kann.
„Jeder Nutzer hat einen öffentlichen RSA-Schlüssel, der von anderen Nutzern oder MEGA verwendet wird, um Daten für den Besitzer zu verschlüsseln, und einen privaten Schlüssel, den der Nutzer selbst verwendet, um die mit ihm geteilten Daten zu entschlüsseln“, erklären die Forscher. „Mit diesem [GaP-Bleichenbacher-Angriff] kann MEGA diese RSA-Chiffretexte entschlüsseln, auch wenn dafür eine unpraktische Anzahl von Anmeldeversuchen erforderlich ist.
Kurz gesagt: Die Angriffe können von MEGA oder einem Unternehmen, das seine Kerninfrastruktur kontrolliert, als Waffe eingesetzt werden, um ähnlich aussehende Dateien hochzuladen und alle Dateien und Ordner zu entschlüsseln, die dem Opfer gehören oder mit ihm geteilt werden, sowie die ausgetauschten Chatnachrichten.
Die Mängel sind schwerwiegend, da sie die vermeintlichen Sicherheitsgarantien von MEGA untergraben und das Unternehmen dazu veranlassen, Updates herauszugeben, um die ersten drei der fünf Probleme zu beheben. Die vierte Sicherheitslücke, die mit der Verletzung der Integrität zusammenhängt, wird voraussichtlich in einer der nächsten Versionen behoben.
Was den Bleichenbacher-Angriff auf den RSA-Verschlüsselungsmechanismus von MEGA angeht, so hat das Unternehmen erklärt, dass der Angriff „in der Praxis nur schwer durchführbar ist, da er im Durchschnitt etwa 122.000 Client-Interaktionen erfordern würde“, und dass es den Legacy-Code von allen seinen Clients entfernen wird.
MEGA betonte außerdem, dass ihm keine Benutzerkonten bekannt sind, die durch die oben genannten Angriffsmethoden kompromittiert worden sind.
„Die gemeldeten Schwachstellen hätten es erforderlich gemacht, dass MEGA zum Bösewicht gegen bestimmte seiner Nutzer wird, oder sie könnten nur ausgenutzt werden, wenn eine andere Partei unbemerkt die API-Server oder TLS-Verbindungen von MEGA kompromittiert“, so Ortmann.
„Die Angriffe […] entstehen durch unerwartete Interaktionen zwischen scheinbar unabhängigen Komponenten der kryptografischen Architektur von MEGA“, so die Forscher weiter. „Sie weisen auf die Schwierigkeiten hin, die bei der Wartung großer Systeme mit Kryptographie auftreten können, vor allem, wenn sich die Funktionen des Systems weiterentwickeln und es auf mehreren Plattformen eingesetzt wird.
„Die hier vorgestellten Angriffe zeigen, dass es für eine motivierte Partei möglich ist, Schwachstellen in realen kryptografischen Architekturen zu finden und auszunutzen – mit verheerenden Folgen für die Sicherheit. Es ist denkbar, dass Systeme dieser Kategorie Angreifer anziehen, die bereit sind, erhebliche Ressourcen zu investieren, um den Dienst selbst zu kompromittieren, was die Plausibilität von hochkomplexen Angriffen erhöht.“