MEGA 安全漏洞攻击

原文: Researchers Uncover Ways to Break the Encryption of ‘MEGA’ Cloud Storage Service

作者: Ravie Lakshmanan

日期: 2025年1月5日

苏黎世联邦理工大学的研究人员最近发现，MEGA 云存储服务中存在若干严重安全漏洞，这些漏洞可能被利用以破坏用户数据的机密性和完整性。在题为 “MEGA: Malleable Encryption Goes Awry” 的论文中，研究者指出，MEGA 的系统无法防范恶意服务器，从而使得不法分子有机会彻底破坏上传文件的隐私。

苏黎世联邦理工大学的 Matilda Backendal、Miro Haller 和 Kenneth G. Paterson 在分析该服务的加密架构时表示：“此外，用户数据的完整性也受到严重威胁，攻击者甚至可以插入任意恶意文件，而这些文件能够通过客户端的所有真实性检测。” 而 MEGA 自称为 “隐私公司” ，宣称提供用户自主控制的端到端加密云存储服务，目前日活跃用户超过 1000 万，平台累计上传文件超过 1220 亿个。

最关键的漏洞是一种 RSA 密钥恢复攻击。该攻击允许 MEGA（若本身存有恶意意图）或控制其 API 基础设施的国家级对手，通过篡改 512 次登录尝试，恢复用户的 RSA 私钥，并借此解密存储的内容。

MEGA 首席架构师 Mathias Ortmann 针对此发现回应道，他说：“一旦目标账户成功登录次数足够，其接收到的共享文件夹、MEGAdrop 文件以及聊天记录就可能被解密；在后续登录过程中，云盘中的文件也可能逐步被解密。” 在恢复 RSA 密钥之后，还可衍生出以下四种攻击方式：

明文恢复攻击：允许 MEGA 解密与每个上传文件关联的节点密钥（该密钥由用户主密钥加密），进而解密所有用户通信及文件内容。
伪装攻击：MEGA 可借此在用户存储空间中插入与真实上传文件无异的任意文件。
完整性攻击：这是伪装攻击的一种较为暴露的变体，攻击者可利用该方式伪造以受害者名义命名的文件并将其植入目标的云存储中。
猜测清除 (GaP) Bleichenbacher 攻击：这是基于瑞士密码学家 Daniel Bleichenbacher 于 1998 年提出的自适应选择密文攻击，可用于解密 RSA 密文。

研究人员解释说：“每个用户拥有一个公开的 RSA 密钥，供其他用户或 MEGA 用于加密发给该用户的数据；而用户自身则使用对应的私钥来解密共享数据。借助 GaP Bleichenbacher 攻击，MEGA 能够解密这些 RSA 密文，尽管这需要进行大量不切实际的登录尝试。”

总之，这些攻击手法可被 MEGA 或任何控制其核心基础设施的实体用于上传仿冒文件，并解密受害者所拥有或共享的全部文件、文件夹及聊天记录。这些漏洞极为严重，直接动摇了 MEGA 所宣称的安全保障。为此，该公司已发布更新修复前三项问题，而关于完整性破坏的第四个漏洞预计将在后续版本中解决。

对于针对 MEGA RSA 加密机制的 Bleichenbacher 式攻击，MEGA 表示：“这种攻击在实际操作中难以实现，因为平均需要约 122000 次客户端交互。”同时，公司将从所有客户端中移除相关遗留代码。MEGA 还强调，目前尚未发现有用户账户因上述攻击方法而遭到安全威胁。Ortmann 指出：“上述漏洞的利用，需要 MEGA 本身采取恶意行为，或是在其 API 服务器或 TLS 连接在不被察觉的情况下被第三方入侵。”

研究人员进一步阐述：“这些攻击源于 MEGA 加密架构中各看似独立组件之间意外的相互作用，凸显了在功能不断演进且跨多个平台部署的大规模加密系统中，保障安全性的巨大挑战。” “此处展示的攻击表明，一个有足够动机的攻击者，完全可能在现实加密架构中发现并利用漏洞，从而对安全构成毁灭性打击。可以预见，这类系统将吸引愿意投入大量资源破坏服务的对手，使得高复杂度攻击的风险大幅增加。”

本文为基于AI技术的翻译改写，若需了解详细信息，请参考原文出处。