نقص های جدی در سرویس های ذخیره سازی ابری بزرگ E2EE کشف شده است

نقص های جدی در سرویس های ذخیره سازی ابری بزرگ E2EE کشف شده است

آسیب پذیری های رمزگذاری جدی در چندین پلت فرم ذخیره سازی ابری رمزگذاری شده (E2EE) که توسط میلیون ها نفر استفاده می شود، شناسایی شده است.

محققان ETH زوریخ، Jonas Hofmann و Kien Tuong Truong، پنج ارائه‌دهنده اصلی – Sync، pCloud، Icedrive، Seafile و Tresorit را تجزیه و تحلیل ،د و نقص‌های قابل توجهی را در چهار مورد از آنها آشکار ،د.

این مطالعه که در اوایل ماه جاری منتشر شد، نگر،‌های جدی در مورد ادعاهای امنیتی این سرویس‌ها به‌ویژه در سناریوهایی که یک سرور م،ب می‌تواند منجر به به خطر افتادن داده‌های کاربر شود، ایجاد می‌کند.

به طور خاص، این تحقیق بر این تمرکز داشت که چگونه یک سرور آسیب‌دیده می‌تواند فایل‌های ذخیره‌شده را دستکاری، تزریق یا دسترسی داشته باشد، کاربر، که معتقدند داده‌هایشان توسط E2EE محافظت می‌شود.

نتایج نشان داد که چهار پلتفرم از پنج پلتفرم – Sync، pCloud، Icedrive و Seafile – در برابر حملات متعدد از جمله توانایی تزریق فایل‌ها، تغییر ابرداده و حتی دسترسی به داده‌های متن ساده آسیب‌پذیر هستند. Tresorit تنها ارائه دهنده ای بود که این آسیب پذیری ها در آن کشف نشدند.

آسیب پذیری های کلیدی شناسایی شده است

بردارهای اصلی حمله شناسایی شده توسط محققان عبارتند از:

  • تزریق فایل، به مهاجمان اجازه می دهد تا فایل ها را در فضای ذخیره سازی کاربر قرار دهند

  • دستکاری نام فایل ها و ابرداده ها

  • دسترسی غیرمجاز به محتوای رمزگشایی شده

  • به اشتراک گذاری پیوند نشت می کند، جایی که می توان فایل های به اشتراک گذاشته شده را در معرض دید قرار داد

Sync، یکی از پرکاربردترین سرویس‌ها با بیش از دو میلیون کاربر، از جمله سازمان‌هایی مانند صلیب سرخ کانادا و دانشگاه تورنتو، به‌ویژه در برابر این حملات آسیب‌پذیر است و ادعای محرمانه بودن و یکپارچگی پرونده را تضعیف می‌کند.

درباره خطرات ذخیره سازی ابری ایمن بیشتر بخو،د: مجرمان سایبری از فضای ذخیره سازی ابری برای کلاهبرداری های فیشینگ پیامکی سوء استفاده می کنند.

خواستار استانداردهای رمزگذاری قوی تر شوید

این مطالعه توضیح داد که آسیب‌پذیری‌ها ناشی از نقص‌های رایج در طراحی رمزگذاری هستند که بر بسیاری از ارائه‌دهندگان خدمات به روش‌های مشابهی تأثیر می‌گذارند.

این به مشکلات گسترده‌تری در توسعه راه‌حل‌های ذخیره‌سازی ابری E2EE اشاره می‌کند.

ما ادعا نمی‌کنیم که خود ارائه‌دهندگان خدمات بدخواهانه رفتار کنند، بلکه به لطف داده‌هایی که ذخیره می‌کنند، آنها هدف جذابی برای دشمنان و هکرهای ،ت ملت هستند که ممکن است سعی کنند سرور را هک کنند و حملاتی را علیه کاربران انجام دهند. هافمن و توونگ ترانگ هشدار می دهند.

نتایج در اوایل سال جاری برای شرکت های تحت تأثیر قرار گرفت.

در حالی که Seafile متعهد به رسیدگی به این مشکلات است، سایرین مانند Sync و pCloud هنوز پاسخی نداده اند.

منبع: https://www.infosecurity-magazine.com/news/flaws-e2ee-cloud-storage-services/