蘇黎世聯邦理工學院的網路安全研究人員在多個端對端加密 (E2EE) 雲端儲存平台中發現了嚴重的加密漏洞。
這些漏洞可能允許威脅行為者非法存取客戶的敏感資料。
蘇黎世聯邦理工學院研究人員Jonas Hofmann 和Kien Tuong Truong 在一份新報告中透露,在惡意伺服器的設定下,他們對Sync、pCloud、Icedrive、Seafile、五個主要E2EE 雲端儲存供應商進行了深入的密碼分析。
「E2EE 雲端儲存中普遍存在的漏洞凸顯了我們對該領域掌握的關鍵盲點。我們的研究結果強烈表明,在現階段,E2EE 雲端儲存生態系統很大程度上已被破壞,需要對其基礎進行重大重新評估。
研究人員的分析基於一個威脅模型,在該模型中,攻擊者可以控制惡意伺服器,並能夠隨意讀取、修改和注入資料——這對於民族國家行為者和高技能駭客來說是一種現實的方法。
經過分析,研究人員發現所有五個平台上都存在漏洞,這些漏洞使得對手控制下的惡意伺服器可以輕鬆地將文件隨意注入用戶的加密儲存中,篡改文件數據,甚至直接存取文件內容。
這與平台的營銷主張相矛盾,並給客戶帶來了對其資料安全的錯誤安全感。
研究人員在所有五個雲端儲存平台上確定了十類攻擊,這些攻擊分為四類:機密性、目標檔案資料、元資料以及將任意檔案注入用戶儲存。
讓我們來看看攻擊的類別:
- 缺乏經過身份驗證的金鑰材料,允許攻擊者插入自己的加密金鑰(Sync 和 pCloud)
- 未經身份驗證的公鑰(Sync 和 Tresorit)
- 加密協定降級,允許其嘗試暴力破解用戶密碼(Seafile)
- 連結共享陷阱對解密(同步)所需的密碼進行編碼
- 未經身份驗證的加密模式(例如 CBC)允許攻擊者以半受控的方式篡改文件內容(Icedrive 和 Seafile)
- 未經身份驗證的檔案分塊,允許對手交換資料塊並從檔案中刪除資料塊(Seafile 和 pCloud)
- 篡改檔案名稱和位置(Sync、pCloud、Seafile 和 Icedrive)
- 篡改文件元資料(影響所有五個提供者)
- 資料夾注入(同步)
- 注入惡意檔案金鑰以及使用者儲存 (pCloud) 中的惡意檔案內容
「並非我們所有的攻擊本質上都是複雜的,這意味著不一定精通密碼學的攻擊者也可以攻擊它們。事實上,我們的攻擊非常實用,無需大量資源即可實施,」研究人員補充道。
“此外,雖然從密碼學的角度來看,其中一些攻擊並不新穎,但它們強調,在實踐中部署的 E2EE 雲端儲存的失敗程度很小,而且通常不需要更深入的密碼分析來破解。”
在發現漏洞時,Hofmann 和 Truong 遵循道德披露實踐,並於 2024 年 4 月 23 日向 Sync、pCloud、Seafile 和 Icedrive 通報了他們的發現,並規定了標準的 90 天披露窗口。
雖然 Seafile 和 Icedrive 都承認了這個問題,但 Icedrive 團隊選擇不解決所提出的問題。另一方面,Seafile 承諾在未來的更新中修復協議降級問題。
此外,2024 年 9 月 27 日,研究人員聯繫了 Tresorit,討論其特定密碼設計的潛在改進。
Pcloud 尚未對研究人員的報告發表評論,同時同步,在聲明中電腦發出嗶嗶聲,說:「我們的安全團隊上週意識到這些問題,此後我們迅速採取行動解決這些問題。我們也聯繫了研究團隊,分享研究結果並就以下問題進行合作:下一步。
![21 個最佳韓劇網站:2024 年免費觀看韓劇 [英文字幕]](https://webbedxp.com/tech/kourtney/wp-content/uploads/2018/12/Websites-to-download-Korean-Dramas-For-Free.jpg)
![2025 年 10 個適用於 Windows 7 PC 的最佳免費媒體播放器 [32 和 64 位元]](https://webbedxp.com/tech/kourtney/wp-content/uploads/2018/10/Best-Media-Player-For-Windows.jpg)