Sicherheitsexperten kritisieren diverse Mängel bei Mega

Update Ferdinand Thommes
78 Kommentare

Sicherheitsexperten, die sich genauer mit Kim Dotcoms neuem Cloud-Storage-Service Mega befasst haben, kritisieren verschiedene Schwachstellen, die leicht ausgenutzt werden könnten. So ist nicht nur die SSL-Implementation unsicher, sondern die Plattform steht auch für Spambots anscheinend weit offen.

So übt beispielsweise Alan Woodward von der University of Surrey heftige Kritik an der so hoch gepriesenen Verschlüsselung. Da diese SSL-Implementation in Javascript im Browser realisiert wird, sei sie per se angreifbar. Das gilt laut Woodward um so mehr, da einige der Domains zur Reduzierung der CPU-Last derzeit nur mit 1048-Bit verschlüsseln würden. Außerdem sei der (pseudo-random) Zufallsgenerator in Javascript bekanntermaßen vorhersehbar, da er Schwierigkeiten beim Sammeln der nötigen Entropie habe.

Sollte ein Hacker Zugriff auf einen Mega-Server erhalten, so könne er entweder die Verschlüsselung abschalten oder aber mit ein paar Zeilen Code die Schlüssel der Nutzer sichtbar machen. Woodward macht klar, das könne sowohl ein Hacker, aber ebenso ein Mega-Angestellter sein. Ein weiterer Kritikpunkt Woodwards ist die fehlende Möglichkeit, Passwörter zurückzusetzen. Wer zur Zeit sein Passwort für Mega verliert, ist seine Daten los.

Der deutsche Sicherheitsforscher und Betreiber der Seite Sicherheit-Online, Heiko Frenzel, hat zudem einen Spambot entwickelt, der in der Lage ist, über das Mega-Portal Spam zu versenden. Seine Kritik betrifft Schwachstellen bei der Registrierung, die von Spammern und Phishern leicht auszubeuten wären. Frenzel schreibt dazu: „Die Parameter der Registrierung werden nur unzureichend gefiltert und selbst eine „Massenregistrierung“ ist problemlos möglich. Es gibt weder eine Captcha-Abfrage, noch eine IP-Sperre oder Ähnliches. Zumindest ist mir auf meinem Streifzug nichts in der Richtung aufgefallen“. Somit ist der Massenversand von Spam- und Phishing-Mails an beliebige Empfänger mit dem Absender „MEGA“ möglich. Auch gezieltes Phishing bei Benutzern von Mega sei denkbar.

Der von Frenzel nach eigenen Angaben in Minuten erstellte Spambot demonstriert in einem Video seine Arbeitsweise. Frenzel betont, die Abläufe im Video seien absichtlich verlangsamt, um sie deutlicher zu machen.

Auch die Kollegen von ars technica haben sich die Verschlüsselung genauer angeschaut und auch sie üben heftige Kritik. So benutze Mega nach eigenen Aussagen „Deduplikation“. Das bedeutet, simpel gesagt, das Löschen von mehrfach vorhandenen Inhalten zum Einsparen von Speicherplatz. Dazu steht unter Punkt 8 der Geschäftsbedingungen:

Our service may automatically delete a piece of data you upload or give someone else access to where it determines that that data is an exact duplicate of original data already on our service. In that case, you will access that original data.

Hier stellt sich aber die Frage, wie das gehen soll, denn keine der von Nutzern hochgeladenen verschlüsselten Dateien sollte der anderen gleichen, auch bei gleichem Inhalt nicht. Da erhebt sich die Frage, wie Mega dann gleiche Inhalte erkennen will. Dieser Punkt sollte schnell und erschöpfend erläutert werden.

Darüber hinaus verläuft der Start des neuen Dienstes von Kim Dotcom recht holprig. Dotcom entschuldigte sich per Twitter bei seinen Nutzern mit dem Worten: „Die massive weltweite Berichterstattung über den Start von Mega ist einfach zu groß für unser Start-up. Ich entschuldige mich für die schlechte Service-Qualität.“ Das Team arbeite Tag und Nacht an der Behebung der Engpässe und werde diese binnen 48 Stunden beseitigen.

Update

Das Blog der Gruppe fail0verflow hat sich der Sicherheit der Mega-Webseite angenommen. Wer über die Webseite anstatt über Clients auf Mega zugreift, muss ja der Seite vertrauen können. Dieses Vertrauen sehen die Tester als nicht gerechtfertigt an. Das geschilderte Szenario wirkt allerdings auch nicht besonders durchdacht. Auf dem Mega-Server liegt lediglich eine index.html, die alle anderen Inhalte von den Servern des sogenannten Content Distribution Networks (CDN) in Form von Javasript-Dateien nachladen. Da es sich hier um Server handelt, die von Partnern von Mega betrieben werden, sollte die Implementation absolut wasserdicht sein. Das scheint aber nicht so, denn zur Sicherstellung der Unversehrtheit des nachgeladenen Codes verlässt sich Mega auf ein bekanntermaßen ungeeignetes Verfahren namens CBC-MAC, anstatt beispielsweise auf das bewährte SHA256 zu vertrauen. Der englische Wikipedia-Artikel zu CBC-MAC warnt ganz klar: „...This example also shows that a CBC-MAC cannot be used as a collision resistant one-way function: given a key it is trivial to create a different message which "hashes" to the same tag.“ Also kann eine dritte Person mit Zugriff auf einen der CDN-Server fremde Inhalte einschleusen, ohne die Identitätsprüfung zu irritieren. Weiß man dann noch, das einige der Server der Mega-Partner derzeit nur mit 1024-Bit verschlüsseln, gibt das doch zu denken. Im erwähnten Blog kann man das Verfahren anhand einer Demo selbst testen.