به گزارش ایسنا، فضای ابری MEGA یک سرویس ذخیرهسازی ابری و میزبانی فایل است که توسط MEGA Limited، یک شرکت مستقر در اوکلند، نیوزلند و از طریق برنامههای مبتنیبر وب ارايه میشود. برنامههای موبایل مگا برای اندروید و آیاواس هم موجود است. این شرکت بهدلیل ارايه بزرگترین فضای ذخیرهسازی ابری با امکانات کامل و تخصیص فضای ذخیرهسازی 20 گیگابایتی رایگان، در جهان شناخته شده است.
کارشناسان یکی از دانشگاههای برجسته اروپا، ETH Zurich سويیس، یک آسیبپذیری مهم در فضای ذخیرهسازی ابری مگا را گزارش کردند که به مهاجم اجازه میدهد اطلاعات کاربر را رمزگشایی کند.
محققان بر این باورند که یک مهاجم، کنترل قلب زیرساخت سرور مگا را بهدست میگیرد و به یک حمله موفق مرد میانی (man-in-the-middle) و اتصال TLS کاربر به مگا دست مییابد. زمانی که یک حساب کاربری مورد هدف، موفق به ورود به سیستم شد، فولدرهای مشترک ورودی، فایلهای MEGAdrop و چتها میتوانند رمزگشایی شوند. فایلهای موجود در درایو ابری ممکن است در طی ورودهای بعدی رمزگشایی شوند. علاوه براین ممکن است فایلهایی در حساب کاربری قرار داده شوند که به نظر میرسد توسط خود کاربر بارگزاری شده است.
مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانهای) اعلام کرده که تیمی از محققان گروه Applied Cryptography در دپارتمان علوم کامپیوتر، مجموعا پنج آسیبپذیری را در معماری رمزنگاری مگا گزارش دادند. آسیبپذیریهای شناساییشده بدینترتیب است که هر بار که یک کاربر مگا وارد سیستم میشود، به تدریج برخی از اطلاعات جمعآوری میشود؛ پس از حداقل 512 ورود، اطلاعات جمعآوریشده به مهاجم این امکان را میدهد تا بخشهایی از حساب کاربری را رمزگشایی کنند و همچنین از ورودهای بیشتر برای رمزگشایی سایر بخشهای باقیمانده استفاده کند؛ حریم خصوصی و یکپارچگی همه دادهها و چتهای ذخیره شده به نابودی کشیده میشود؛ حسابهای کاربری وارد میشوند؛ مکانیزم تبادل کلید چت قدیمی مختل میشود.
محققان خاطرنشان کردند که حتی اگر سرورهای API ارايهدهنده، توسط فرد دیگری کنترل شود، اطلاعات رمزگذاریشده کاربر نباید هرگز توسط مهاجم قابل خواندن باشد (حتی پس از 512 بار ورود). سرویس ذخیرهسازی ابری مگا در تمام پلتفرمها (ویندوز، اندروید و آیاواس) تحت تاثیر این آسیبپذیری قرار دارند. فضای ابری مگا بهروزرسانیهای نرمافزاری را جهت رفع آسیبپذیری مذکور منتشر کرده است. به تمامی کاربران توصیه میشود نرمافزار خود را در تمام دستگاهها ارتقا دهند و سپس حساب کاربری خود را به فرمتی جدید تبدیل کنند.