More

    Istraživači otkrivaju ozbiljne sigurnosne propuste u velikim E2EE dobavljačima Cloud Storage

    Istraživači cyber sigurnosti otkrili su ozbiljne kriptografske probleme u različitim end-to-end enkriptiranim (E2EE) platformama za pohranu u cloud-u koje bi se mogle iskoristiti za curenje osjetljivih podataka.

    “Ranjivosti se razlikuju po ozbiljnosti: u mnogim slučajevima malicioznih server može ubaciti datoteke, manipulsati podacima o fajlovima, pa čak i dobiti direktan pristup otvorenom tekstu”, rekli su istraživači ETH Zurich Jonas Hofmann i Kien Tuong Truong. “Zanimljivo je da mnogi naši napadi utiču na više provajdera na isti način, otkrivajući uobičajene obrasce neuspjeha u neovisnim kriptografskim dizajnom.”

    Utvrđene slabosti rezultat su analize pet velikih provajdera kao što su Sync, pCloud, Icedrive, Seafile i Tresorit. Osmišljene tehnike napada ovise o malicioznom serveru koji je pod kontrolom protivnika, a koji bi se potom mogao koristiti za ciljanje korisnika pružatelja usluga.

    Kratak opis nedostataka otkrivenih u sistemima za skladištenje u cloud-u je kako slijedi –

    • Sinhronizacija, u kojoj se maliciozni server može koristiti za razbijanje povjerljivosti učitanih datoteka, kao i za ubacivanje datoteka i neovlašteno mijenjanje njihovog sadržaja

    • pCloud, u kojem bi se maliciozni server mogao koristiti za razbijanje povjerljivosti učitanih datoteka, kao i za ubacivanje datoteka i neovlašteno mijenjanje njihovog sadržaja

    • Seafile, u kojem bi se malicozni server mogao koristiti za ubrzanje brutalnog nametanja korisničkih lozinki, kao i ubacivanje datoteka i mijenjanje njihovog sadržaja.

    • Icedrive, u kojem se zlonamjerni server može koristiti za narušavanje integriteta učitanih datoteka, kao i za ubacivanje fajlova i mijenjanje njihovog sadržaja

    • Tresorit, u kojem bi se malicozni server mogao koristiti za predstavljanje neautentičnih ključeva prilikom dijeljenja datoteka i za mijenjanje nekih metapodataka u skladištu.

    Ovi napadi spadaju u jednu od 10 širokih klasa koje narušavaju povjerljivost, ciljaju podatke i metapodatke u fajlovima i dozvoljavaju ubacivanje proizvoljnih datoteka –

    • Nedostatak provjere autentičnosti materijala za ključeve korisnika (Sync i pCloud)

    • Upotreba javnih ključeva bez autentifikacije (Sync i Tresorit)

    • Nadogradnja protokola za šifrovanje (Seafile),

    • Zamke dijeljenja linkova (Sinhronizacija)

    • Korištenje neautoriziranih načina šifriranja kao što su CBC (Icedrive i Seafile)

    • Neautorizirano lomljenje fajlova (Seafile i pCloud)

    • Neovlašteno mijenjanje naziva datoteka i lokacije (Sync, pCloud, Seafile i Icedrive)

    • Ometanje metapodataka datoteke (utječe na svih pet provajdera)

    • Ubacivanje fascikli u korisničku pohranu kombinovanjem napada na uređivanje metapodataka i iskorištavanjem hira u mehanizmu dijeljenja (Sync)

    • Ubacivanje lažnih fajlova u korisnički prostor za pohranu (pCloud)

    “Nisu svi naši napadi sofisticirane prirode, što znači da su na dohvat ruke napadača koji nisu nužno vješti u kriptografiji. Zaista, naši napadi su vrlo praktični i mogu se izvesti bez značajnih resursa”, rekli su istraživači u jednoj prateći rad.

    „Pored toga, iako neki od ovih napada nisu novi iz kriptografske perspektive, oni naglašavaju da E2EE skladištenje u cloud-u, kako se primenjuje u praksi, ne uspeva na trivijalnom nivou i često ne zahteva dublju kriptoanalizu da bi se prekinula.”

    Iako je Icedrive odlučio da ne rješava identificirane probleme nakon odgovornog otkrivanja krajem aprila 2024. godine, Sync, Seafile i Tresorit su prihvatili izvještaj. Hacker News se obratio svakom od njih za daljnji komentar, a mi ćemo ažurirati priču ako dobijemo odgovor.

    Nalazi dolaze nešto više od šest mjeseci nakon što je grupa akademika sa King’s College London i ETH Zurich detaljno opisala tri različita napada na Nextcloud-ovu E2EE funkciju koja bi se mogla zloupotrijebiti za narušavanje povjerljivosti i garancija integriteta.

    “Ranjivosti čine trivijalnim da malicizoni Nextcloud server pristupi i manipulira korisničkim podacima”, rekli su tada istraživači, ističući potrebu da se sve radnje servera i serverski unosi tretiraju kao protivnički za rješavanje problema.

    Još u junu 2022. istraživači ETH Zuricha su takođe demonstrirali niz kritičnih sigurnosnih problema u MEGA servisu za pohranu u cloud-u koji bi se mogli iskoristiti za razbijanje povjerljivosti i integriteta podataka korisnika.

    Izvor:The Hacker News

    Recent Articles

    spot_img

    Related Stories