Pesquisadores encontram grandes falhas de segurança nos principais provedores de armazenamento em nuvem E2EE
Cibersegurança

Pesquisadores encontram grandes falhas de segurança nos principais provedores de armazenamento em nuvem E2EE

atualizado em Deixe um comentário em Pesquisadores encontram grandes falhas de segurança nos principais provedores de armazenamento em nuvem E2EE


21 de outubro de 2024EURavie LakshmananCriptografia/Proteção de Dados

Pesquisadores de segurança cibernética descobriram vulnerabilidades criptográficas críticas em várias redes criptografadas de ponta a ponta (E2EE) que poderiam ser exploradas para vazar dados confidenciais.

“A vulnerabilidade é muito complexa: em muitos casos, um servidor malicioso pode injetar arquivos, adulterar dados de arquivos e obter acesso direto a texto simples”, disseram os pesquisadores da ETH Zurique, Jonas Hofmann e Kien Tuong Truong. “Surpreendentemente, muitos de nossos ataques afetam vários provedores da mesma maneira, revelando padrões comuns de falha em projetos criptográficos independentes”.

As vulnerabilidades identificadas são o resultado da análise de cinco grandes provedores, como Sync, pCloud, Icedrive, Seafile e Tresorit. As técnicas de ataque projetadas dependem do servidor malicioso sob controle do inimigo, que pode ser usado para atingir os usuários dos provedores de serviço.

Cibersegurança

Uma breve descrição das falhas expostas nos sistemas de armazenamento em nuvem é a seguinte:

  • Sincronizar, onde um servidor malicioso pode ser usado para violar a privacidade dos arquivos carregados, bem como para injetar arquivos e adulterar seu conteúdo.
  • pCloud, onde um servidor malicioso pode ser usado para violar a privacidade dos arquivos carregados, bem como para injetar arquivos e adulterar seu conteúdo.
  • Seafile, onde um servidor malicioso pode ser usado para acelerar a força bruta das senhas dos usuários, bem como para injetar arquivos e adulterar seu conteúdo.
  • Icedrive, onde um servidor malicioso pode ser usado para violar a integridade dos arquivos carregados, bem como para injetar arquivos e adulterar seu conteúdo.
  • Tresorit, onde um servidor malicioso pode ser usado para apresentar chaves falsas ao compartilhar arquivos e para adulterar determinados metadados armazenados.

Esses ataques se enquadram em uma das 10 categorias amplas que violam a privacidade, têm como alvo dados e metadados de arquivos e permitem a injeção arbitrária de arquivos –

  • Falta de autenticação de chave de usuário (sincronizar com pCloud)
  • Uso de chaves públicas não autorizadas (Sync e Tresorit)
  • Degradação do protocolo de criptografia (Seafile),
  • Armadilhas de compartilhamento de link (habilitar)
  • Uso de métodos de criptografia não autorizados, como CBC (Icedrive e Seafile)
  • Compartilhamento não autorizado de arquivos (Seafile e pCloud)
  • Distorcer nomes e localização de arquivos (Sync, pCloud, Seafile e Icedrive)
  • Adulteração de metadados de arquivos (afeta todos os cinco provedores)
  • Injeção de pastas no endpoint do usuário combinando ataques de edição de metadados e usando uma peculiaridade no método de compartilhamento (Enable)
  • Injeção de arquivos maliciosos no armazenamento do usuário (pCloud)

“Nem todos os nossos ataques são de natureza complexa, o que significa que podem atingir atacantes que não possuem conhecimentos de criptografia. Na verdade, os nossos ataques são muito eficazes e podem ser realizados sem recursos significativos”, afirmaram os investigadores no documento que acompanha.

“Além disso, embora alguns desses ataques não sejam novos do ponto de vista criptográfico, eles enfatizam que o armazenamento em nuvem E2EE, conforme usado na prática, não é eficaz em um nível pequeno e geralmente não requer análise profunda para ser quebrado”.

Cibersegurança

Embora a Icedrive tenha optado por não comentar os problemas identificados após a divulgação responsável no final de abril de 2024, Sync, Seafile e Tresorit reconheceram o relatório. O Hacker News entrou em contato com cada um deles para obter mais comentários e atualizaremos a história quando solicitado.

As descobertas ocorrem pouco mais de seis meses depois que uma equipe de acadêmicos do King's College London e da ETH Zurich detalhou três ataques separados contra o recurso E2EE do Nextcloud que poderiam ser explorados para violar garantias de privacidade e garantias de integridade.

“A vulnerabilidade permite que um servidor Nextcloud malicioso acesse e manipule os dados do usuário”, disseram os pesquisadores na época, destacando a necessidade de gerenciar todas as ações do servidor e as entradas geradas pelo servidor como contramedida.

Em junho de 2022, os pesquisadores da ETH Zurique também demonstraram uma série de problemas críticos de segurança no serviço de armazenamento em nuvem MEGA que poderiam ser usados ​​para violar a privacidade e integridade dos dados do usuário.

Você achou este artigo interessante? Siga-nos Twitter e LinkedIn para ler o conteúdo exclusivo que postamos.





Source link

Você também pode gostar...

Cardano aparece como lucro alto, BTC se aproxima dos US$ 80 mil
Cibersegurança

Cardano aparece como lucro alto, BTC se aproxima dos US$ 80 mil

Guardas de segurança que querem vencer os criminosos na batalha de segurança cibernética da GenAI
Cibersegurança

Guardas de segurança que querem vencer os criminosos na batalha de segurança cibernética da GenAI

Falha de alta gravidade no PostgreSQL permite que hackers explorem variáveis ​​locais
Cibersegurança

Falha de alta gravidade no PostgreSQL permite que hackers explorem variáveis ​​locais

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *