Pesquisadores de segurança cibernética descobriram graves problemas criptográficos em várias plataformas de armazenamento em nuvem criptografadas de ponta a ponta (E2EE) que poderiam ser exploradas para vazar dados confidenciais.
“As vulnerabilidades variam em gravidade: em muitos casos, um servidor malicioso pode injetar arquivos, adulterar dados de arquivos e até obter acesso direto a texto simples”, disseram os pesquisadores da ETH Zurich, Jonas Hofmann e Kien Tuong Truong. “Notavelmente, muitos de nossos ataques afetam vários provedores da mesma maneira, revelando padrões de falha comuns em projetos criptográficos independentes”.
Os pontos fracos identificados são o resultado de uma análise de cinco grandes fornecedores, como Sync, pCloud, Icedrive, Seafile e Tresorit. As técnicas de ataque desenvolvidas dependem de um servidor malicioso que está sob o controle de um adversário, que poderia então ser usado para atingir os usuários dos provedores de serviços.
Uma breve descrição das falhas descobertas nos sistemas de armazenamento em nuvem é a seguinte –
- Sincronização, em que um servidor malicioso pode ser usado para quebrar a confidencialidade dos arquivos enviados, bem como injetar arquivos e adulterar seu conteúdo
- pCloud, no qual um servidor malicioso poderia ser usado para quebrar a confidencialidade dos arquivos enviados, bem como injetar arquivos e adulterar seu conteúdo
- Seafile, no qual um servidor malicioso pode ser usado para acelerar a força bruta de senhas de usuários, bem como injetar arquivos e adulterar seu conteúdo
- Icedrive, no qual um servidor malicioso pode ser usado para quebrar a integridade dos arquivos enviados, bem como injetar arquivos e adulterar seu conteúdo
- Tresorit, no qual um servidor malicioso poderia ser usado para apresentar chaves não autênticas ao compartilhar arquivos e para adulterar alguns metadados no armazenamento
Esses ataques se enquadram em uma das 10 lessons amplas que violam a confidencialidade, têm como alvo dados e metadados de arquivos e permitem a injeção de arquivos arbitrários –
- Falta de autenticação do materials da chave do usuário (Sync e pCloud)
- Uso de chaves públicas não autenticadas (Sync e Tresorit)
- Downgrade do protocolo de criptografia (Seafile),
- Armadilhas do compartilhamento de hyperlinks (sincronização)
- Uso de modos de criptografia não autenticados, como CBC (Icedrive e Seafile)
- Bloco não autenticado de arquivos (Seafile e pCloud)
- Adulteração de nomes e localização de arquivos (Sync, pCloud, Seafile e Icedrive)
- Adulteração de metadados de arquivos (afeta todos os cinco provedores)
- Injeção de pastas no armazenamento de um usuário combinando o ataque de edição de metadados e explorando uma peculiaridade no mecanismo de compartilhamento (Sincronização)
- Injeção de arquivos não autorizados no armazenamento de um usuário (pCloud)
“Nem todos os nossos ataques são sofisticados por natureza, o que significa que estão ao alcance de atacantes que não são necessariamente qualificados em criptografia. Na verdade, nossos ataques são altamente práticos e podem ser realizados sem recursos significativos”, disseram os pesquisadores em um comunicado. documento que acompanha.
“Além disso, embora alguns desses ataques não sejam novos do ponto de vista criptográfico, eles enfatizam que o armazenamento em nuvem E2EE, conforme implantado na prática, falha em um nível trivial e muitas vezes não requer uma criptoanálise mais profunda para ser quebrado.”
Embora a Icedrive tenha optado por não resolver os problemas identificados após a divulgação responsável no remaining de abril de 2024, Sync, Seafile e Tresorit reconheceram o relatório. O Hacker Information entrou em contato com cada um deles para mais comentários e atualizaremos a história se recebermos resposta.
As descobertas ocorrem pouco mais de seis meses depois que um grupo de acadêmicos do King's School London e da ETH Zurich detalharam três ataques distintos contra o recurso E2EE do Nextcloud que poderiam ser abusados para quebrar garantias de confidencialidade e integridade.
“As vulnerabilidades tornam trivial para um servidor Nextcloud malicioso acessar e manipular os dados dos usuários”, disseram os pesquisadores na época, destacando a necessidade de tratar todas as ações do servidor e entradas geradas pelo servidor como adversárias para resolver os problemas.
Em junho de 2022, os pesquisadores da ETH Zurich também demonstraram uma série de problemas críticos de segurança no serviço de armazenamento em nuvem MEGA que poderiam ser aproveitados para quebrar a confidencialidade e integridade dos dados do usuário.