Seguridad

Los investigadores descubren graves fallos de seguridad en los principales proveedores de almacenamiento en la nube E2EE

21 de octubre de 2024Lakshmanan encantadoCifrado / Protección de Datos

Los investigadores de ciberseguridad han descubierto graves problemas criptográficos en varias plataformas de almacenamiento en la nube cifradas de extremo a extremo (E2EE) que podrían explotarse para filtrar datos confidenciales.

“Las vulnerabilidades varían en gravedad: en muchos casos, un servidor malicioso puede inyectar archivos, alterar los datos del archivo e incluso acceder directamente al texto sin formato”, dicen Jonas Hofmann y Kien Tuong Truong, investigadores de ETH Zurich. dicho. “Sorprendentemente, muchos de nuestros ataques afectan a múltiples proveedores de la misma manera, revelando patrones de falla comunes en diseños criptográficos independientes. »

Las debilidades identificadas son el resultado de un análisis de cinco proveedores principales como Sync, pCloud, Icedrive, Seafile y Tresorit. Las técnicas de ataque diseñadas se basan en un servidor malicioso bajo el control de un adversario, que luego podría usarse para atacar a los usuarios de los proveedores de servicios.

Una breve descripción de las vulnerabilidades descubiertas en los sistemas de almacenamiento en la nube es la siguiente:

  • Sincronización, en la que se podría utilizar un servidor malicioso para romper la confidencialidad de los archivos cargados, así como inyectar archivos y alterar su contenido.
  • pCloud, en el que se podría utilizar un servidor malicioso para romper la confidencialidad de los archivos cargados, así como inyectar archivos y alterar su contenido.
  • Seafile, en el que se podría utilizar un servidor malicioso para acelerar la fuerza bruta de las contraseñas de los usuarios, así como inyectar archivos y alterar su contenido.
  • Icedrive, en el que se podría utilizar un servidor malicioso para romper la integridad de los archivos descargados, así como inyectar archivos y alterar su contenido.
  • Tresorit, en el que se podría utilizar un servidor malicioso para presentar claves no auténticas al compartir archivos y falsificar ciertos metadatos almacenados.

Estos ataques pertenecen a una de las 10 clases amplias que violan la privacidad, apuntan a datos y metadatos de archivos y permiten la inyección arbitraria de archivos.

  • Falta de autenticación de hardware de clave de usuario (Sync y pCloud)
  • Uso de claves públicas no autenticadas (Sync y Tresorit)
  • Degradar el protocolo de cifrado (Seafile),
  • Errores de compartir enlaces (sincronizar)
  • Usar modos de cifrado no autenticados como CBC (Icedrive y Seafile)
  • Agrupación de archivos no autenticados (Seafile y pCloud)
  • Falsificar nombres y ubicaciones de archivos (Sync, pCloud, Seafile y Icedrive)
  • Falsificación de metadatos de archivos (afecta a los cinco proveedores)
  • Inyectar carpetas en el almacenamiento de un usuario mediante una combinación de ataque de edición de metadatos y explotación de una peculiaridad en el mecanismo de intercambio (Sincronización)
  • Inyección de archivos maliciosos en el almacenamiento de un usuario (pCloud)

“Todos nuestros ataques son de naturaleza poco sofisticada, lo que significa que están al alcance de atacantes que no son necesariamente expertos en criptografía. De hecho, nuestros ataques son muy prácticos y pueden llevarse a cabo sin recursos significativos”, dijeron los investigadores en un comunicado. documento adjunto.

“Además, si bien algunos de estos ataques no son criptográficamente nuevos, resaltan que el almacenamiento en la nube E2EE, tal como se implementa en la práctica, falla a un nivel trivial y, a menudo, no requiere un criptoanálisis más profundo para ser interrumpido”.

Aunque Icedrive decidió no resolver los problemas identificados luego de una divulgación responsable a fines de abril de 2024, Sync, Seafile y Tresorit reconocieron el informe. Hacker News se ha puesto en contacto con cada uno de ellos para obtener más comentarios y actualizaremos la historia si recibimos una respuesta.

Los hallazgos se producen poco más de seis meses después de que un grupo de académicos del King’s College London y ETH Zurich detallaran tres ataques separados a la funcionalidad E2EE de Nextcloud de los que se podría abusar para romper las salvaguardas de confidencialidad e integridad.

“Debido a estas vulnerabilidades, es trivial que un servidor Nextcloud malicioso acceda y manipule los datos del usuario”, dicen los investigadores. dicho en ese momento, enfatizando la necesidad de tratar todas las acciones del servidor y las entradas generadas por el servidor como contradictorias para resolver los problemas.

En junio de 2022, investigadores de ETH Zurich también destacaron una serie de problemas de seguridad críticos en el servicio de almacenamiento en la nube MEGA que podrían explotarse para violar la confidencialidad y la integridad de los datos del usuario.

¿Te pareció interesante este artículo? Síguenos en Gorjeo Y LinkedIn para leer más contenido exclusivo que publicamos.

También puede interesarte

Seguridad

Gpuhammer: la nueva variante de ataque de Rowhammer degrada los modelos AI en las GPU de NVIDIA

4 meses ago
morelljuanjose@gmail.com
Seguridad

Los piratas explotan el defecto crítico de RCE en el servidor FTP Wing

4 meses ago
morelljuanjose@gmail.com
Seguridad

Más de 600 aplicaciones de Laravel expuestas a la ejecución del código remoto debido a la fuga de APP_Keys en GitHub

4 meses ago
morelljuanjose@gmail.com

No te lo pierdas

Criptomonedas

Bitcoin: de nicho a clase de activo global — y qué significa esto para América Latina

Eventos

LABITCONF 2025: el epicentro imparable que marca el rumbo del mundo cripto y financiero

NFT

NFTs en Latinoamérica 2025: US$ 35.9 M en ingresos y salto del 33% en gaming, RWA y fidelización

Fondeos

Fintech para empresas: el acceso al financiamiento digital en Argentina

Exit mobile version