Исследователи обнаружили серьезные недостатки в нескольких популярных платформах облачного хранения E2EE

Криптографический анализ, проведенный исследователями из Швейцарской высшей технической школы Цюриха Йонасом Хофманном и Киеном Туонгом Туронгом, выявил проблемы с сервисами Sync, pCloud, Icedrive, Seafile и Tresorit, которыми в совокупности пользуются более 22 млн человек.
Исследователи обнаружили серьезные недостатки в нескольких популярных платформах облачного хранения E2EE

Исследователи обнаружили серьезные недостатки в нескольких популярных платформах облачного хранения E2EE. Фото: СС0

Анализ основывался на модели угрозы, когда злоумышленник управляет вредоносным сервером, который может считывать, изменять и внедрять данные по своему усмотрению, что вполне реально для опытных хакеров.

Команда отмечает, что многие из обнаруженных недостатков напрямую противоречат маркетинговым обещаниям платформ, создавая для клиентов обманчивые и ложные предпосылки.

Исследователи ETH Zurich обнаружили серьезные уязвимости во всех пяти продуктах, включая реализации, которые позволяют злоумышленнику внедрять файлы, подделывать данные или получать доступ к файлам пользователя.

Уязвимости Sync позволяют злоумышленникам внедрять собственные ключи шифрования и компрометировать данные. Отсутствие аутентификации открытого ключа при совместном использовании файлов дополнительно позволяет злоумышленникам расшифровывать общие файлы. Общие ссылки раскрывают пароли серверу, нарушая конфиденциальность. Кроме того, злоумышленники могут переименовывать или перемещать файлы незамеченными и даже внедрять папки в хранилище пользователя, создавая видимость того, что пользователь загрузил их.

Основные проблемы pCloud позволяют злоумышленникам перезаписывать закрытые ключи и принудительно шифровать с помощью контролируемых ключей. Открытые ключи также неаутентифицированы, что дает доступ к зашифрованным файлам. Кроме того, злоумышленники могут внедрять файлы, манипулировать метаданными, такими как размер файла, и переупорядочивать или удалять фрагменты из-за отсутствия аутентификации в процессе фрагментации.

Использование Icedrive неаутентифицированного шифрования CBC делает его уязвимым для подделки файлов, что позволяет злоумышленникам изменять содержимое файлов. Имена файлов также могут быть усечены или изменены. Процесс фрагментации не требует аутентификации, что означает, что злоумышленники могут переупорядочивать или удалять фрагменты файлов, нарушая целостность файла .

Сервис Seafile уязвим к понижению версии протокола, что упрощает подбор пароля. Использование неаутентифицированного шифрования CBC позволяет подделывать файлы, а неаутентифицированное разбиение на фрагменты позволяет злоумышленникам манипулировать фрагментами файлов. Имена и местоположения файлов также не защищены, и сервер может внедрять файлы или папки в хранилище пользователя.

Аутентификация открытого ключа Tresorit основана на контролируемых сервером сертификатах, которые злоумышленники могут заменить, чтобы получить доступ к общим файлам. Метаданные также уязвимы для подделки, что позволяет злоумышленникам изменять детали создания файла и вводить пользователей в заблуждение.

Из пяти исследованных групп Tresorit показал себя относительно лучше других, поскольку обнаруженные проблемы не раскрывают напрямую содержимое файлов и не допускают простых манипуляций с данными.

Поставщики облачных хранилищ были уведомлены о результатах исследований, сообщают исследователи.

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Перечень содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

1 комментарий

Добавить комментарий

Больше интересного

Актуальное

Инвестиции в стартапы в сфере генеративного ИИ превысили 3,9 миллиардов долларов в третьем квартале 2024 года
Исследование: Microsoft 365 Copilot повысил окупаемость инвестиций для малого и среднего бизнеса до 353%
Стартап в сфере искусственного интеллекта SandboxAQ ищет финансирование на сумму более 5 миллиардов долларов
Ещё…