蘇黎世聯邦理工學院的網絡安全研究人員在多個端到端加密 (E2EE) 雲存儲平台中發現了嚴重的加密漏洞。
這些漏洞可能允許威脅行為者非法訪問客戶的敏感數據。
蘇黎世聯邦理工學院研究人員 Jonas Hofmann 和 Kien Tuong Truong 在一份新報告中透露,在惡意服務器的設置下,他們對 Sync、pCloud、Icedrive、Seafile 和 Tresorit 五個主要 E2EE 雲存儲提供商進行了深入的密碼分析,這些提供商累計擁有超過 2200 萬用戶,並暴露了他們在存儲服務市場中的安全聲明。
Truong 和 Hofmann 在報告中寫道:“E2EE 雲存儲中普遍存在的漏洞凸顯了我們對該領域掌握的一個關鍵盲點。我們的研究結果強烈表明,在現階段,E2EE 雲存儲的生態系統在很大程度上已被破壞,需要對其基礎進行重大重新評估。”
研究人員的分析基於一個威脅模型,在該模型中,攻擊者可以控制惡意服務器,並能夠隨意讀取、修改和注入數據——這對於民族國家行為者和高技能黑客來說是一種現實的方法。
經過分析,研究人員在所有五個平台上都發現了漏洞,這些漏洞使得對手控制下的惡意服務器可以輕鬆地將文件隨意注入用戶的加密存儲中,篡改文件數據,甚至直接訪問文件內容。
這與平台的營銷主張相矛盾,並給客戶帶來了對其數據安全的錯誤安全感。
研究人員在所有五個雲存儲平台上確定了十類攻擊,這些攻擊分為四類:機密性、目標文件數據、元數據以及將任意文件注入用戶存儲。
讓我們看看攻擊的類別:
- 缺乏經過身份驗證的密鑰材料,允許攻擊者插入自己的加密密鑰(Sync 和 pCloud)
- 未經身份驗證的公鑰(Sync 和 Tresorit)
- 加密協議降級,允許其嘗試暴力破解用戶密碼(Seafile)
- 鏈接共享陷阱對解密(同步)所需的密碼進行編碼
- 未經身份驗證的加密模式(例如 CBC)允許攻擊者以半受控的方式篡改文件內容(Icedrive 和 Seafile)
- 未經身份驗證的文件分塊,允許對手交換數據塊並從文件中刪除數據塊(Seafile 和 pCloud)
- 篡改文件名和位置(Sync、pCloud、Seafile 和 Icedrive)
- 篡改文件元數據(影響所有五個提供商)
- 文件夾注入(同步)
- 注入惡意文件密鑰以及用戶存儲 (pCloud) 中的惡意文件內容
研究人員補充道:“並非我們所有的攻擊本質上都是複雜的,這意味著不一定精通密碼學的攻擊者也可以攻擊它們。事實上,我們的攻擊非常實用,無需大量資源即可實施。”
“此外,雖然從密碼學的角度來看,其中一些攻擊並不新穎,但它們強調,在實踐中部署的 E2EE 雲存儲的失敗程度很小,而且通常不需要更深入的密碼分析來破解。”
在發現漏洞時,Hofmann 和 Truong 遵循道德披露實踐,並於 2024 年 4 月 23 日向 Sync、pCloud、Seafile 和 Icedrive 通報了他們的發現,並規定了標準的 90 天披露窗口。
雖然 Seafile 和 Icedrive 都承認了這個問題,但 Icedrive 團隊選擇不解決所提出的問題。另一方面,Seafile 承諾在未來的更新中修復協議降級問題。
此外,2024 年 9 月 27 日,研究人員聯繫了 Tresorit,討論其特定密碼設計的潛在改進。
Pcloud 尚未對研究人員的報告發表評論,同時同步,在聲明中電腦發出嗶嗶聲,說:“我們的安全團隊上週意識到了這些問題,此後我們迅速採取行動解決這些問題。我們還聯繫了研究團隊,分享研究結果並就該問題進行合作。下一步。 ”
![Facebook 鎖定個人資料未顯示? [ 固定的 ]](https://webbedxp.com/tech/kourtney/wp-content/uploads/2024/10/Lock-Profile.jpg)
