De encryptie waarop de Mega-software draait blijkt maar slecht in elkaar te zitten. Twee onderzoekers publiceerden deze bevinding in een rapport en tonen vijf manieren waarop criminelen door de encryptie kunnen breken.
Het onderzoeksrapport ‘Mega: Malleable Encrytpion Goes Awry’, toont dat de gegarandeerd veilige encryptie van Mega toch niet zo veilig is. Het bedrijf beweerde altijd dat data opgeslagen op de servers van Mega enkel voor de eigenaars toegankelijk is. Cybercriminelen zouden onmogelijk een ingang kunnen vinden en zelfs met een overheidsbevel zou je er niet in kunnen.
De onderzoekers Matilda Backendal, Miro Haller en Kenneth Paterson, halen die grote woorden nu onderuit. Zij toonden onder andere dat met een TLS MITM-aanval op de slecht geconfigureerde beveiliging zo kan worden ingebroken. TLS ofwel de Transport Layer Security is een type versleuteling die veel gebruikt wordt, zoals door WhatsApp.
De versleuteling end-to-end gebruiken, voorkomt dit type aanval waarbij de aanvaller zichzelf tussen de twee eindpunten positioneert om gegevens die overgedragen worden te onderscheppen.
Mega eerder ingelicht
Zoals goede onderzoekers doen, stelden ze het bedrijf op de hoogte van het onderzoek voor de publicatie. Mathias Ortmann, chief architect bij Mega, had al een blogbericht als antwoord op de publicatie klaarliggen. Zijn team sleutelden in de tussentijd ook al aan oplossingen voor drie van de vijf problemen.
Ortmann drukt gebruikers op het hart dat een oplossing voor de vierde fout in de maak is. De laatste fout kan worden opgelost door legacy code te verwijderen uit de software en ook daar zou het bedrijf mee bezig zijn.