Kelemahan Kritis di MEGA Cloud Storage Biarkan Penyerang Mendekripsi Data Pengguna

  • Whatsapp
Kelemahan Kritis di MEGA Cloud Storage Biarkan Penyerang Mendekripsi Data Pengguna
Kelemahan Kritis di MEGA Cloud Storage Biarkan Penyerang Mendekripsi Data
Cacat Kritis Penyimpanan Awan MEGA

Para ahli di salah satu universitas terkemuka Eropa, ETH Zurich, Swiss melaporkan kerentanan kritis dalam penyimpanan cloud MEGA yang memungkinkan penyerang untuk mendekripsi data pengguna.

MEGA adalah penyimpanan cloud dan layanan hosting file yang ditawarkan oleh MEGA Limited, sebuah perusahaan yang berbasis di Auckland, Selandia Baru. Layanan ini ditawarkan melalui aplikasi berbasis web. Aplikasi seluler MEGA juga tersedia untuk Android dan iOS. Perusahaan ini dikenal dengan penyimpanan cloud gratis berfitur lengkap terbesar di dunia dengan alokasi penyimpanan 20 GB untuk akun gratis.

MEGA telah merilis pembaruan perangkat lunak yang memperbaiki kerentanan kritis yang mengekspos data pengguna.

Bagaimana Serangan dilakukan?

Para peneliti mengatakan penyerang akan mendapatkan kendali atas jantung infrastruktur server MEGA atau mencapai serangan man-in-the-middle yang berhasil pada koneksi TLS pengguna ke MEGA.

Ketika akun yang ditargetkan telah membuat login yang cukup berhasil, folder bersama yang masuk, file MEGAdrop, dan obrolan dapat didekripsi. File di drive cloud bisa saja didekripsi berturut-turut selama login berikutnya. Selain itu, file bisa saja ditempatkan di akun yang tampaknya telah diunggah oleh pemilik akun (serangan “pembingkaian”).

Sebuah tim peneliti dari Applied Cryptography Group di Departemen Ilmu Komputer, ETH Zurich, melaporkan total lima kerentanan dalam arsitektur kriptografi MEGA.

Lima Serangan yang Diidentifikasi oleh Peneliti

Kerentanan yang Diidentifikasi

  • Secara bertahap mengumpulkan beberapa informasi setiap kali pengguna MEGA masuk.
  • Setelah minimal 512 login tersebut, informasi yang dikumpulkan memungkinkan penyerang untuk mendekripsi bagian dari akun dan juga memanfaatkan login lebih lanjut untuk berturut-turut mendekripsi sisanya.
  • Privasi dan integritas semua data dan obrolan yang disimpan sedang dihancurkan.
  • Masukkan file arbitrer ke akun pengguna.
  • Masalahnya ada di mekanisme pertukaran kunci obrolan lama.

Para peneliti mencatat bahwa bahkan jika server API penyedia dikendalikan oleh musuh, data pengguna terenkripsi tidak boleh dibaca oleh penyerang – bahkan setelah 512 login.

Selain itu, tautan folder tidak dilindungi integritas dan membawa kunci meta AES yang diperlukan, dan mekanisme yang mendukung fitur MEGAdrop dapat dimanfaatkan.

Pembaruan Tersedia

Pengguna disarankan untuk memutakhirkan perangkat lunak klien di semua perangkat dan kemudian mengonversi akun mereka ke format baru yang tidak kompatibel dengan versi sebelumnya.

“Kami mendesak semua pengguna yang sering masuk untuk meningkatkan aplikasi MEGA mereka sesegera mungkin. Kami juga mengundang vendor perangkat lunak klien pihak ketiga untuk meningkatkan ke SDK MEGA terbaru, dan mereka yang memelihara implementasi klien API MEGA mereka sendiri, untuk menambahkan perbaikan yang setara.”, menurut pembaruan keamanan yang dirilis oleh MEGA.

MEGA telah memperbaiki dua kerentanan yang dapat menyebabkan dekripsi data pengguna di semua klien – pemulihan kunci RSA dan pemulihan teks biasa, memitigasi yang ketiga – pembingkaian, dan di masa mendatang, perusahaan akan mengatasi dua masalah yang tersisa.

Anda dapat mengikuti kami di Linkedin, Twitter, Facebook untuk pembaruan Cybersecurity harian.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.