Mai multe platforme de stocare cloud cu criptare de la un capăt la celălalt (E2EE) sunt vulnerabile la un set de probleme de securitate care ar putea expune datele utilizatorilor unor actori răuvoitori.
O analiză criptografică realizată de cercetătorii de la ETH Zurich, Jonas Hofmann și Kien Tuong Turong, a relevat probleme cu serviciile Sync, pCloud, Icedrive, Seafile și Tresorit, utilizate colectiv de peste 22 de milioane de persoane.
Analiza s-a bazat pe modelul de amenințare al unui atacator care controlează un server rău intenționat capabil să citească, să modifice și să injecteze date la voință, ceea ce este realist pentru actorii la nivel de stat și hackerii sofisticați.
Echipa menționează că multe dintre problemele descoperite se opun direct promisiunilor de marketing ale platformelor, creând astfel o premisă falsă și înșelătoare pentru clienți.
Cercetătorii de la ETH Zurich au descoperit vulnerabilități grave în toate cele cinci produse, inclusiv implementări care permit unui actor rău intenționat să injecteze fișiere, să manipuleze datele sau să obțină acces la fișierele utilizatorului. Iată o prezentare generală a problemelor descoperite:
Dintre cele cinci platforme examinate, Tresorit a avut un comportament relativ mai bun, deoarece problemele descoperite nu expun direct conținutul fișierelor sau nu permit manipularea ușoară a datelor.
Cercetătorii i-au notificat pe cei de la Sync, pCloud, Seafile și Icedrive cu privire la descoperirile lor în data de 23 aprilie 2024 și i-au contactat pe cei de la Tresorit în data de 27 septembrie 2024 pentru a discuta posibile îmbunătățiri în design-urile lor criptografice specifice.
Icedrive a decis să nu abordeze problemele, Seafile a promis că va remedia problema de degradare a protocolului într-o actualizare viitoare, în timp ce Sync și pCloud nu răspunseseră până la data de 10 octombrie 2024.
BleepingComputer i-a contactat pe toți cei cinci furnizori de servicii cloud pentru un comentariu cu privire la cercetarea lui Hofmann și Truong, iar noi am primit următoarele declarații:
Sync: Echipa noastră de securitate a luat cunoștință de aceste probleme săptămâna trecută, iar de atunci am luat măsuri rapide pentru a le aborda. De asemenea, am contactat echipa de cercetare pentru a împărtăși constatările și a colabora pentru pașii următori.
Problema potențială de scurgere a datelor de pe link-uri (după cum s-a raportat) a fost deja rezolvată, iar acum lucrăm rapid la remedierea celorlalte probleme potențiale. Așa cum este outline-uit în lucrarea de cercetare, aceste vulnerabilități există sub pretextul unui server compromis. Nu există dovezi că aceste vulnerabilități au fost exploatate sau că datele din fișiere au fost accesate.
Înțelegem că, folosind Sync, se pune încrederea în noi. Dar promisiunea criptării de la un capăt la celălalt este că nu trebuie să ai încredere în nimeni, nici măcar în noi. Acest concept este la baza modelului nostru de criptare și central pentru ceea ce facem.
Suntem hotărâți să rezolvăm aceste probleme.
Tresorit: Studiul echipei de cercetare de clasă mondială de la ETH Zürich a examinat posibilitatea a zece clase de atacuri asupra sistemelor de stocare cloud criptate de la un capăt la celălalt, inclusiv încălcări de confidențialitate și vulnerabilități de injectare a fișierelor. Concluziile au confirmat că design-ul și alegerile criptografice atente ale Tresorit au făcut ca sistemul nostru să fie în mare măsură neafectat de aceste atacuri. Deși suntem mulțumiți de aceste rezultate, recunoaștem și potențialul neexploatat evidențiat de cercetare.
Prezentarea amprentelor cheilor publice utilizatorilor atunci când partajează foldere face parte din planul nostru pentru 2025. Acest lucru va preveni complet atacurile de înlocuire a cheilor, permițând verificarea out-of-band. Deja facem acest lucru pentru invitațiile de afaceri astfel încât utilizatorul să poată obține dovezi criptografice despre viitorul administrator de date înainte de a se alătura. Software-ul nostru client evaluat Common Criteria EAL4 + AVA_VAN.5 — primul printre serviciile de stocare cloud — necesită autentificare a cheilor out-of-band pentru partajarea folderelor.
Chiar dacă unele metadate, cum ar fi dimensiunea fișierului, timpul ultimei modificări și membriile folderelor, sunt partajate cu serverele, acestea sunt, de asemenea, stocate ca date criptografic autentificate pentru a preveni manipularea. Aceste metadate sunt necesare și pe partea serverului: pentru evidența corespunzătoare a cotelor de stocare ale clienților noștri și pentru a impune regulile de acces pe partea serverului ca un strat suplimentar de securitate.
La Tresorit, securitatea este prioritatea noastră principală, iar suntem dedicați îmbunătățirii continue, folosind aceste idei pentru a-și întări platforma și mai mult. Această cercetare nu doar ne ajută să evoluăm, dar și îndrumă industria mai largă către soluții mai sigure. Securitatea este fundația a tot ceea ce construim, și suntem mândri să colaborăm cu instituții academice precum Universitatea Tehnică din Budapesta pentru a ne asigura că rămânem în fruntea inovației în stocarea cloud sigură.
Seafile: Nu avem nimic de comentat în acest moment.
Icedrive și pCloud nu au răspuns solicitării BleepingComputer pentru un comentariu.
Defect critic în NVIDIA Container Toolkit permite preluarea completă a gazdei
Renunțați la abonamente – această ofertă de stocare cloud Koofr costă doar 120 USD pe viață
89 USD vă oferă 2TB de stocare cloud FileJump care durează o viață
GitLab avertizează cu privire la defectul critic de executare a conductei pe ramură arbitrară
Această ofertă FolderFort vă oferă 1TB de stocare cloud pentru viață
Leave a Reply