Mega: Verschlüsselungs-Versprechen fällt wie ein Kartenhaus zusammen
Die Cloudspeicher-Plattform Mega wirbt zwar damit, dass hochgeladene Dateien aufgrund einer starken Ende-zu-Ende-Verschlüsselung ausschließlich durch den Nutzer selbst eingesehen werden können - davon bleibt bei praktischer Prüfung aber wenig Wahres übrig.
"Nicht einmal Mega kann die dort gespeicherten Daten entschlüsseln", heißt es. Und da soll dies für Ermittlungsbehörden und andere möglicherweise Interessierte erst recht gelten. Auf der Startseite des Dienstes will man sich auf diese Weise vor allem auch von anderen Cloud-Speichern wie Dropbox oder Google Drive abheben. Und die Werbeaussage wurde in der Vergangenheit auch vielfach von Drittparteien in Reviews des Services verbreitet.
Eine nun veröffentlichte Forschungsarbeit zeigt allerdings, dass die Aussage schlicht nicht stimmt. Die Sicherheitsexperten, die die Plattform genauer unter die Lupe nahmen, kamen zu dem Schluss, dass man nicht einmal die grundlegenden Fehler der Umsetzung kryptographischer Systeme vermieden hätte. Insbesondere als Betreiber der Infrastruktur habe man spätestens durch wiederholte Logins der Anwender die Möglichkeit, deren Verschlüsselungs-Keys zu rekonstruieren.
Entsprechend gilt dies natürlich für den Fall, dass beispielsweise eine passend ausgebildete Polizeibehörde Zugriff auf die Infrastruktur bekommt. Und mit ein wenig mehr Aufwand kann man sich durchaus auch von Außen Zugang verschaffen und bei böswilliger Absicht bestimmten Nutzern fremde Inhalte unterschieben.
Nachdem Mega den Bericht der Forscher im März vorab erhielt, begann das Unternehmen am Dienstag mit der Auslieferung eines Updates, das die Durchführung der Angriffe erschwert. Die Forscher warnen jedoch, dass der Patch nur ein "Ad-hoc"-Mittel zur Vereitelung des Schlüsselwiederherstellungsangriffs darstellt und andere Probleme nicht automatisch mitlöst - auch wenn diese in der aufeinander aufbauenden Kette nun weniger einfach ausgenutzt werden können.
Siehe auch:
Eine nun veröffentlichte Forschungsarbeit zeigt allerdings, dass die Aussage schlicht nicht stimmt. Die Sicherheitsexperten, die die Plattform genauer unter die Lupe nahmen, kamen zu dem Schluss, dass man nicht einmal die grundlegenden Fehler der Umsetzung kryptographischer Systeme vermieden hätte. Insbesondere als Betreiber der Infrastruktur habe man spätestens durch wiederholte Logins der Anwender die Möglichkeit, deren Verschlüsselungs-Keys zu rekonstruieren.
Entsprechend gilt dies natürlich für den Fall, dass beispielsweise eine passend ausgebildete Polizeibehörde Zugriff auf die Infrastruktur bekommt. Und mit ein wenig mehr Aufwand kann man sich durchaus auch von Außen Zugang verschaffen und bei böswilliger Absicht bestimmten Nutzern fremde Inhalte unterschieben.
Patch hilft ein wenig
"Wir zeigen, dass das MEGA-System seine Benutzer nicht vor einem bösartigen Angreifer schützt und präsentieren fünf verschiedene Angriffe, die zusammen eine vollständige Kompromittierung der Vertraulichkeit von Benutzerdateien ermöglichen", schreiben die Forscher auf einer eigens eingerichteten Website. "Darüber hinaus wird die Integrität der Benutzerdaten in dem Maße beschädigt, dass ein Angreifer bösartige Dateien seiner Wahl einfügen kann, die alle Authentizitätsprüfungen des Clients passieren. Wir haben Proof-of-Concept-Versionen aller Angriffe erstellt, um ihre Praktikabilität und Ausnutzbarkeit zu demonstrieren."Nachdem Mega den Bericht der Forscher im März vorab erhielt, begann das Unternehmen am Dienstag mit der Auslieferung eines Updates, das die Durchführung der Angriffe erschwert. Die Forscher warnen jedoch, dass der Patch nur ein "Ad-hoc"-Mittel zur Vereitelung des Schlüsselwiederherstellungsangriffs darstellt und andere Probleme nicht automatisch mitlöst - auch wenn diese in der aufeinander aufbauenden Kette nun weniger einfach ausgenutzt werden können.
Siehe auch:
Thema:
Beiträge aus dem Forum
Weiterführende Links
Beliebt im Preisvergleich
- Solid State Drives (SSD):
Neue Nachrichten
- Nur heute: 12 Top-Deals bei Media Markt und Saturn - ohne Prime-Abo
- KI-Datenklau: Anthropic wirft Alibaba massiven Diebstahl bei Claude vor
- Xbox: Neues Insider-Update eliminiert Wartezeiten bei Spiele-Updates
- Nvidia-Flüssigkühlung senkt Wasserverbrauch in Servern auf fast null
- Waymo-Robotaxis: Alphabet-Tochter bereitet Deutschlandstart vor
- Netflix: Das sind die neuen Filme und Serien im Juli 2026
- SpaceX-Aktie im Rückwärtsgang, Musk ist damit nicht mehr Billionär
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen