Sharehoster Mega: Sicherheitsforscher entschlüsseln eigentlich geschützte Daten
Eine problematische Kryptografie-Implementierung kann verschlüsselte Dateien für den Betreiber oder Angreifer lesbar machen.
(Bild: HAKINMHAN / Shutterstock.com)
Sicherheitsforscher der ETH (Eidgenössische Technische Hochschule) Zürich haben Fehler bei der Ende-zu-Ende-Verschlüsselung des Sharehosters Mega aufgedeckt. Durch das Ausnutzen der Schwachstellen könnten der Betreiber oder Angreifer unter bestimmten Voraussetzungen verschlüsselte Dateien einsehen.
Eigentlich soll eine Ende-zu-Ende-Verschlüsselung garantieren, dass nur der rechtmäßige Besitzer seine Dateien entschlüsseln kann. Weder der Betreiber kann über seine Infrastruktur im Klartext mitlesen und auch Angreifer sind davon ausgesperrt – wenn die dafür notwendigen kryptografischen Operationen korrekt implementiert sind.
Problem gelöst. Aber nur temporär?
Auf einer Website führen die Sicherheitsforscher aus, dass das bei Mega nicht der Fall ist. Der Fehler findet sich in einer problematischen Kryptografie-Implementierung. In einer Stellungnahme gibt Mega an, das Problem zumindest teilweise gelöst zu haben. Weitere Patches sollen folgen. Bislang soll es keine derartigen Attacken gegeben haben.
Die Sicherheitsforscher bestätigen, dass etwa der Zugriff auf den privaten Schlüssel über ihre Methode nicht mehr möglich ist. Ihnen zufolge bleibt die nicht optimale Implementierung aber bestehen und die von ihnen skizzierten weiteren Attacken könnten über andere Wege stattfinden.
Die Probleme
Aus dem Passwort des Nutzers leitet der Mega-Client den Authentifizierungs- und den Verschlüsselungsschlüssel ab. Der Verschlüsselungsschlüssel chiffriert unter anderem weitere Schlüssel, etwa für die Chat-Funktion und den Dateizugriff. Damit der Zugriff von mehreren Geräten aus klappt, liegt der private Schlüssel kodiert auf den Mega-Servern.
Da die Schlüssel keinen Integritätsschutz aufweisen, griffen die Sicherheitsforscher eigenen Angaben zufolge manipulierend ein. Dadurch konnten sie im Zuge des Datenaustausches einer Sitzungs-ID Rückschlüsse auf Primzahlen ziehen. Nach 512 Anmeldeversuchen mit dem Passwort konnten sie den privaten Schlüssel über eine RSA-Key-Recovery-Attacke Bit für Bit rekonstruieren.
Um das tun zu können, muss aber der Zugriff auf die Mega-Server-Infrastuktur gegeben sein. Theoretisch könnte der Betreiber so Dateien entschlüsseln oder Angreifer in einer Man-in-the-Middle-Position.
Weitere Attacken
Der Betreiber oder Angreifer könnten also auf Informationen im Klartext zugreifen. Außerdem sei es vorstellbar, dass Angreifer von Nutzern abgelegte Dateien manipulieren oder Opfern sogar mit Schadcode verseuchte Dateien unterjubeln, die Authentizitätschecks bestehen. In ihrem ausführlichen Bericht erläutern die Sicherheitsforscher noch weitere Attacken und führen mögliche Angriffsszenarien aus.
(des)
