Súlyos biztonsági hibák az E2EE cloud storage szolgáltatóknál
Kiberbiztonsági kutatók súlyos kriptográfiai problémákat fedeztek fel különböző végponttól végpontig titkosított (E2EE) felhőalapú tárolási platformokban, amelyeket kihasználva érzékeny adatok szivároghatnak ki. „A sérülékenységek különböző súlyosságúak: sok esetben egy rosszindulatú szerver fájlokat juttathat be, manipulálhatja a fájladatokat, sőt közvetlen hozzáférést szerezhet plaintext-hez” – közölték Jonas Hofmann és Kien Tuong Truong, az ETH Zürich kutatói.
Az azonosított gyenge pontok öt nagy szolgáltató, így a Sync, a pCloud, az Icedrive, a Seafile és a Tresorit elemzésének eredményei. A kidolgozott támadási technikák alapja egy rosszindulatú, a támadó ellenőrzése alatt álló szerver, amely aztán felhasználható a szolgáltatók felhasználóinak megcélzására. A vizsgált 5 vállalat együttesen több mint 22 millió felhasználóval rendelkezik. Az első négy szolgáltatónál (tehát kivéve a Tresorit-ot) súlyos kriptográfiai sérülékenységeket tártak fel a kutatók.
A felhőalapú tárolórendszerekben feltárt hibák rövid leírása:
- Sync és pCloud: egy rosszindulatú szervert fel lehet használni a feltöltött fájlok bizalmasságának megsértésére, valamint fájlok bevitelére és tartalmuk megváltoztatására.
- Seafile: egy rosszindulatú szerver felhasználható a felhasználói jelszavak gyors brute force-olására, valamint fájlok bevitelére és tartalmuk megváltoztatására.
- Icedrive: egy rosszindulatú szervert fel lehet használni a feltöltött fájlok integritásának megsértésére, valamint fájlok bevitelére és tartalmuk megváltoztatására.
- Tresorit: egy rosszindulatú szervert arra lehet használni, hogy nem hiteles kulcsokat mutasson be a fájlok megosztásakor, és a tároló egyes metaadatait manipulálja.
