Site icon Kiber.ba

Istraživači otkrivaju ozbiljne sigurnosne propuste u velikim E2EE dobavljačima Cloud Storage

Istraživači otkrivaju ozbiljne sigurnosne propuste u velikim E2EE dobavljačima Cloud Storage-Kiber.ba

Istraživači otkrivaju ozbiljne sigurnosne propuste u velikim E2EE dobavljačima Cloud Storage-Kiber.ba

Istraživači cyber sigurnosti otkrili su ozbiljne kriptografske probleme u različitim end-to-end enkriptiranim (E2EE) platformama za pohranu u cloud-u koje bi se mogle iskoristiti za curenje osjetljivih podataka.

“Ranjivosti se razlikuju po ozbiljnosti: u mnogim slučajevima malicioznih server može ubaciti datoteke, manipulsati podacima o fajlovima, pa čak i dobiti direktan pristup otvorenom tekstu”, rekli su istraživači ETH Zurich Jonas Hofmann i Kien Tuong Truong. “Zanimljivo je da mnogi naši napadi utiču na više provajdera na isti način, otkrivajući uobičajene obrasce neuspjeha u neovisnim kriptografskim dizajnom.”

Utvrđene slabosti rezultat su analize pet velikih provajdera kao što su Sync, pCloud, Icedrive, Seafile i Tresorit. Osmišljene tehnike napada ovise o malicioznom serveru koji je pod kontrolom protivnika, a koji bi se potom mogao koristiti za ciljanje korisnika pružatelja usluga.

Kratak opis nedostataka otkrivenih u sistemima za skladištenje u cloud-u je kako slijedi –

Ovi napadi spadaju u jednu od 10 širokih klasa koje narušavaju povjerljivost, ciljaju podatke i metapodatke u fajlovima i dozvoljavaju ubacivanje proizvoljnih datoteka –

“Nisu svi naši napadi sofisticirane prirode, što znači da su na dohvat ruke napadača koji nisu nužno vješti u kriptografiji. Zaista, naši napadi su vrlo praktični i mogu se izvesti bez značajnih resursa”, rekli su istraživači u jednoj prateći rad.

„Pored toga, iako neki od ovih napada nisu novi iz kriptografske perspektive, oni naglašavaju da E2EE skladištenje u cloud-u, kako se primenjuje u praksi, ne uspeva na trivijalnom nivou i često ne zahteva dublju kriptoanalizu da bi se prekinula.”

Iako je Icedrive odlučio da ne rješava identificirane probleme nakon odgovornog otkrivanja krajem aprila 2024. godine, Sync, Seafile i Tresorit su prihvatili izvještaj. Hacker News se obratio svakom od njih za daljnji komentar, a mi ćemo ažurirati priču ako dobijemo odgovor.

Nalazi dolaze nešto više od šest mjeseci nakon što je grupa akademika sa King’s College London i ETH Zurich detaljno opisala tri različita napada na Nextcloud-ovu E2EE funkciju koja bi se mogla zloupotrijebiti za narušavanje povjerljivosti i garancija integriteta.

“Ranjivosti čine trivijalnim da malicizoni Nextcloud server pristupi i manipulira korisničkim podacima”, rekli su tada istraživači, ističući potrebu da se sve radnje servera i serverski unosi tretiraju kao protivnički za rješavanje problema.

Još u junu 2022. istraživači ETH Zuricha su takođe demonstrirali niz kritičnih sigurnosnih problema u MEGA servisu za pohranu u cloud-u koji bi se mogli iskoristiti za razbijanje povjerljivosti i integriteta podataka korisnika.

Izvor:The Hacker News

Exit mobile version