Sicuramente molti di voi conosceranno Mega, azienda neozelandese impegnata nel campo della condivisione di file fondata da Kim Dotcom. Uno dei punti di forza maggiormente sbandierati è il fatto di offrire una "privacy by design", dove le chiavi crittografiche sono direttamente controllate dall'utente, così che solo lui sarà in grado di accedere ai file, anche nel caso il sistema principale venga requisito dalle forze dell'ordine.
Tuttavia, sembra che questo non corrisponda esattamente a verità, dato che gli esperti di crittografia del Politecnico di Zurigo hanno recentemente pubblicato un documento nel quale spiegano cinque possibili attacchi effettuabili da eventuali malintenzionati per compromettere la riservatezza dei file memorizzati. Il PDF, intitolato "Mega: Malleable Encryption Goes Awry", mette in evidenza "significative carenze nell'architettura crittografica di Mega".
Mathias Ortmann, chief architect di Mega, ha pubblicato un post sul blog in cui ha annunciato che tre dei cinque bug riscontrati dai ricercatori sono stati risolti tramite un aggiornamento, mentre arriveranno altre mitigazioni in futuro. Nello specifico, ha affermato che Mega intende rilasciare una correzione del client per l'attacco numero quattro e rimuovere il codice legacy che consente l'attacco numero cinque.
Nel documento redatto dai ricercatori si legge:
I primi due attacchi sfruttano la mancanza di protezione dell'integrità dei cifrari contenenti le chiavi (d'ora in poi denominati cifrari delle chiavi) e consentono di compromettere completamente tutte le chiavi degli utenti crittografate con la chiave master, portando a una completa rottura della riservatezza dei dati nel sistema MEGA. I due attacchi successivi violano l'integrità dei file cifrati e consentono a un fornitore di servizi malintenzionato di inserire file scelti nel cloud storage degli utenti. L'ultimo attacco è un attacco di tipo Bleichenbacher contro il meccanismo di crittografia RSA di MEGA.
In pratica, il problema principale è che il metodo usato da Mega per ricavare le varie chiavi crittografiche utilizzate per autenticare e crittografare i file non controlla l'integrità delle chiavi: un server malintenzionato può quindi manomettere la chiave privata RSA e far trapelare informazioni.
Kenneth Paterson, facente parte del gruppo di ricercatori che hanno scoperto le vulnerabilità, ha espresso su Twitter il proprio disappunto per il fatto che l'azienda non si sia impegnata in una revisione completa del suo approccio, ma si sia limitata a correggere i problemi, in quanto la sua crittografia è "piuttosto fragile".