Istraživači cyber sigurnosti otkrili su ozbiljne kriptografske probleme u različitim end-to-end enkriptiranim (E2EE) platformama za pohranu u cloud-u koje bi se mogle iskoristiti za curenje osjetljivih podataka.
“Ranjivosti se razlikuju po ozbiljnosti: u mnogim slučajevima malicioznih server može ubaciti datoteke, manipulsati podacima o fajlovima, pa čak i dobiti direktan pristup otvorenom tekstu”, rekli su istraživači ETH Zurich Jonas Hofmann i Kien Tuong Truong. “Zanimljivo je da mnogi naši napadi utiču na više provajdera na isti način, otkrivajući uobičajene obrasce neuspjeha u neovisnim kriptografskim dizajnom.”
Utvrđene slabosti rezultat su analize pet velikih provajdera kao što su Sync, pCloud, Icedrive, Seafile i Tresorit. Osmišljene tehnike napada ovise o malicioznom serveru koji je pod kontrolom protivnika, a koji bi se potom mogao koristiti za ciljanje korisnika pružatelja usluga.
Kratak opis nedostataka otkrivenih u sistemima za skladištenje u cloud-u je kako slijedi –
- Sinhronizacija, u kojoj se maliciozni server može koristiti za razbijanje povjerljivosti učitanih datoteka, kao i za ubacivanje datoteka i neovlašteno mijenjanje njihovog sadržaja
- pCloud, u kojem bi se maliciozni server mogao koristiti za razbijanje povjerljivosti učitanih datoteka, kao i za ubacivanje datoteka i neovlašteno mijenjanje njihovog sadržaja
- Seafile, u kojem bi se malicozni server mogao koristiti za ubrzanje brutalnog nametanja korisničkih lozinki, kao i ubacivanje datoteka i mijenjanje njihovog sadržaja.
- Icedrive, u kojem se zlonamjerni server može koristiti za narušavanje integriteta učitanih datoteka, kao i za ubacivanje fajlova i mijenjanje njihovog sadržaja
- Tresorit, u kojem bi se malicozni server mogao koristiti za predstavljanje neautentičnih ključeva prilikom dijeljenja datoteka i za mijenjanje nekih metapodataka u skladištu.
Ovi napadi spadaju u jednu od 10 širokih klasa koje narušavaju povjerljivost, ciljaju podatke i metapodatke u fajlovima i dozvoljavaju ubacivanje proizvoljnih datoteka –
- Nedostatak provjere autentičnosti materijala za ključeve korisnika (Sync i pCloud)
- Upotreba javnih ključeva bez autentifikacije (Sync i Tresorit)
- Nadogradnja protokola za šifrovanje (Seafile),
- Zamke dijeljenja linkova (Sinhronizacija)
- Korištenje neautoriziranih načina šifriranja kao što su CBC (Icedrive i Seafile)
- Neautorizirano lomljenje fajlova (Seafile i pCloud)
- Neovlašteno mijenjanje naziva datoteka i lokacije (Sync, pCloud, Seafile i Icedrive)
- Ometanje metapodataka datoteke (utječe na svih pet provajdera)
- Ubacivanje fascikli u korisničku pohranu kombinovanjem napada na uređivanje metapodataka i iskorištavanjem hira u mehanizmu dijeljenja (Sync)
- Ubacivanje lažnih fajlova u korisnički prostor za pohranu (pCloud)
“Nisu svi naši napadi sofisticirane prirode, što znači da su na dohvat ruke napadača koji nisu nužno vješti u kriptografiji. Zaista, naši napadi su vrlo praktični i mogu se izvesti bez značajnih resursa”, rekli su istraživači u jednoj prateći rad.
„Pored toga, iako neki od ovih napada nisu novi iz kriptografske perspektive, oni naglašavaju da E2EE skladištenje u cloud-u, kako se primenjuje u praksi, ne uspeva na trivijalnom nivou i često ne zahteva dublju kriptoanalizu da bi se prekinula.”
Iako je Icedrive odlučio da ne rješava identificirane probleme nakon odgovornog otkrivanja krajem aprila 2024. godine, Sync, Seafile i Tresorit su prihvatili izvještaj. Hacker News se obratio svakom od njih za daljnji komentar, a mi ćemo ažurirati priču ako dobijemo odgovor.
Nalazi dolaze nešto više od šest mjeseci nakon što je grupa akademika sa King’s College London i ETH Zurich detaljno opisala tri različita napada na Nextcloud-ovu E2EE funkciju koja bi se mogla zloupotrijebiti za narušavanje povjerljivosti i garancija integriteta.
“Ranjivosti čine trivijalnim da malicizoni Nextcloud server pristupi i manipulira korisničkim podacima”, rekli su tada istraživači, ističući potrebu da se sve radnje servera i serverski unosi tretiraju kao protivnički za rješavanje problema.
Još u junu 2022. istraživači ETH Zuricha su takođe demonstrirali niz kritičnih sigurnosnih problema u MEGA servisu za pohranu u cloud-u koji bi se mogli iskoristiti za razbijanje povjerljivosti i integriteta podataka korisnika.
Izvor:The Hacker News