Odborníci v oblasti kybernetické bezpečnosti objevili závažné kryptografické problémy v různých platformách cloudového úložiště s end-to-end šifrováním (E2EE), které by mohly být zneužity k úniku citlivých dat.
„Zranitelnosti se liší svou závažností: v mnoha případech může škodlivý server vkládat soubory, manipulovat s daty souborů, a dokonce získat přímý přístup k nešifrovanému textu,“ uvedli odborníci z ETH Zurich Jonas Hofmann a Kien Tuong Truong. „Pozoruhodné je, že mnoho našich útoků ovlivňuje více poskytovatelů stejným způsobem, což odhaluje běžné vzory selhání v nezávislých kryptografických návrzích.“
Identifikované slabiny jsou výsledkem analýzy pěti hlavních poskytovatelů, jako jsou Sync, pCloud, Icedrive, Seafile a Tresorit. Navržené techniky útoku se opírají o škodlivý server, který je pod kontrolou protivníka, a který by pak mohl být použit k cílení na uživatele poskytovatelů služeb.
„Ne všechny naše útoky jsou sofistikované, což znamená, že jsou v dosahu útočníků, kteří nemusí být nutně zdatní v kryptografii. Naše útoky jsou skutečně velmi praktické a lze je provést bez významných zdrojů,“ uvedli výzkumníci v doprovodném dokumentu.
„Navíc, i když některé z těchto útoků nejsou z kryptografického hlediska nové, zdůrazňují, že E2EE cloudové úložiště, jak je nasazeno v praxi, selhává na triviální úrovni a často nevyžaduje hlubší kryptanalýzu k prolomení.“
Zatímco Icedrive se rozhodlo neřešit identifikované problémy po odpovědném zveřejnění koncem dubna 2024, Sync, Seafile a Tresorit uznali zprávu. Zjištění přicházejí něco málo přes šest měsíců poté, co skupina akademiků z King’s College London a ETH Zurich podrobně popsala tři různé útoky proti funkci E2EE Nextcloud, které by mohly být zneužity k prolomení záruk důvěrnosti a integrity.
„Zranitelnosti umožňují škodlivému serveru Nextcloud snadno přistupovat k datům uživatelů a manipulovat s nimi,“ uvedli tehdy výzkumníci a zdůraznili potřebu považovat všechny akce serveru a vstupy generované serverem za nepřátelské, aby se problémy vyřešily.
Zdroj: thehackernews.com
Zdroj: IT SECURITY NETWORK NEWS
