MEGA云存储服务存在关键安全漏洞

关键要点

• 研究表明，MEGA云存储服务存在几个严重的安全漏洞，可能被攻击者利用。
• MEGA或国家级攻击者可能使用RSA密钥恢复攻击来控制API基础设施，从而恢复RSA私钥。
• 恢复的密钥可能被用于多种攻击，尽管MEGA表示尚未发现有用户账户受到影响。

根据的报道，研究人员揭示了MEGA云存储服务存在几项关键安全漏洞，这些漏洞可能使用户的数据机密性和完整性受到威胁。ETH苏黎世大学的研究人员发现，攻击者可能利用RSA密钥恢复攻击来控制API基础设施，并恢复RSA私钥。他们的研究显示，恢复的密钥可以用于执行明文恢复攻击、框架攻击、完整性攻击以及猜测和清除的Bleichenbacher攻击。

"每个用户都有一个公共RSA密钥，其他用户或MEGA用于加密属于该用户的数据，以及一个由用户自己用于解密共享数据的私钥。在这种中，MEGA可以解密这些RSA密文，尽管这需要不切实际的登录尝试次数，”研究人员表示。

然而，MEGA首席架构师MathiasOrtmann强调，至今没有迹象表明这些攻击技术已经被用来破解任何用户账户。他补充道：“报告中的漏洞需要MEGA对某些用户采取恶意行为，或者只有在其他方在不被注意的情况下攻击MEGA的API服务器或TLS连接时，才能被利用。”

尽管当前没有用户账户被影响的实质证据，用户仍需对潜在的安全风险保持警惕，并及时更新个人密码和安全措施，以保护个人信息安全。