研究者は「MEGA」クラウドストレージサービスの暗号化を破る方法を発見 from thehackernews.com

「MEGA：Malleable Encryption Goes Awry」というタイトルの論文で、研究者は、MEGAのシステムが悪意のあるサーバーからユーザーを保護せず、それによって不正な攻撃者がアップロードされたファイルのプライバシーを完全に侵害できるようにする方法を指摘しています。
「この[GaPBleichenbacher攻撃]により、MEGAはこれらのRSA暗号文を復号化できますが、ログインの試行回数は非現実的です。」
一言で言えば、攻撃はMEGAまたはそのコアインフラストラクチャを制御する任意のエンティティによって武器化され、類似ファイルをアップロードし、被害者が所有または共有するすべてのファイルとフォルダ、および交換されるチャットメッセージを復号化する可能性があります。
MEGAはさらに、前述の攻撃方法によって侵害された可能性のあるユーザーアカウントを認識していないことを強調しました。
「報告された脆弱性により、MEGAは特定のユーザーに対して悪意のある攻撃者になる必要がありました。さもなければ、他の当事者が気付かれずにMEGAのAPIサーバーまたはTLS接続を侵害した場合にのみ悪用される可能性があります」とOrtmann氏は指摘しました。
「ここに提示された攻撃は、意欲的な当事者が現実世界の暗号化アーキテクチャの脆弱性を見つけて悪用し、セキュリティに壊滅的な結果をもたらす可能性があることを示しています。このカテゴリのシステムは、侵害するために多大なリソースを投資することをいとわない敵を引き付けると考えられます。サービス自体、複雑性の高い攻撃の可能性を高めます」