آسیب پذیری های رمزگذاری جدی در چندین پلت فرم ذخیره سازی ابری رمزگذاری شده (E2EE) که توسط میلیون ها نفر استفاده می شود، شناسایی شده است.
محققان ETH زوریخ، Jonas Hofmann و Kien Tuong Truong، پنج ارائهدهنده اصلی – Sync، pCloud، Icedrive، Seafile و Tresorit را تجزیه و تحلیل ،د و نقصهای قابل توجهی را در چهار مورد از آنها آشکار ،د.
این مطالعه که در اوایل ماه جاری منتشر شد، نگر،های جدی در مورد ادعاهای امنیتی این سرویسها بهویژه در سناریوهایی که یک سرور م،ب میتواند منجر به به خطر افتادن دادههای کاربر شود، ایجاد میکند.
به طور خاص، این تحقیق بر این تمرکز داشت که چگونه یک سرور آسیبدیده میتواند فایلهای ذخیرهشده را دستکاری، تزریق یا دسترسی داشته باشد، کاربر، که معتقدند دادههایشان توسط E2EE محافظت میشود.
نتایج نشان داد که چهار پلتفرم از پنج پلتفرم – Sync، pCloud، Icedrive و Seafile – در برابر حملات متعدد از جمله توانایی تزریق فایلها، تغییر ابرداده و حتی دسترسی به دادههای متن ساده آسیبپذیر هستند. Tresorit تنها ارائه دهنده ای بود که این آسیب پذیری ها در آن کشف نشدند.
آسیب پذیری های کلیدی شناسایی شده است
بردارهای اصلی حمله شناسایی شده توسط محققان عبارتند از:
-
تزریق فایل، به مهاجمان اجازه می دهد تا فایل ها را در فضای ذخیره سازی کاربر قرار دهند
-
دستکاری نام فایل ها و ابرداده ها
-
دسترسی غیرمجاز به محتوای رمزگشایی شده
-
به اشتراک گذاری پیوند نشت می کند، جایی که می توان فایل های به اشتراک گذاشته شده را در معرض دید قرار داد
Sync، یکی از پرکاربردترین سرویسها با بیش از دو میلیون کاربر، از جمله سازمانهایی مانند صلیب سرخ کانادا و دانشگاه تورنتو، بهویژه در برابر این حملات آسیبپذیر است و ادعای محرمانه بودن و یکپارچگی پرونده را تضعیف میکند.
درباره خطرات ذخیره سازی ابری ایمن بیشتر بخو،د: مجرمان سایبری از فضای ذخیره سازی ابری برای کلاهبرداری های فیشینگ پیامکی سوء استفاده می کنند.
خواستار استانداردهای رمزگذاری قوی تر شوید
این مطالعه توضیح داد که آسیبپذیریها ناشی از نقصهای رایج در طراحی رمزگذاری هستند که بر بسیاری از ارائهدهندگان خدمات به روشهای مشابهی تأثیر میگذارند.
این به مشکلات گستردهتری در توسعه راهحلهای ذخیرهسازی ابری E2EE اشاره میکند.
ما ادعا نمیکنیم که خود ارائهدهندگان خدمات بدخواهانه رفتار کنند، بلکه به لطف دادههایی که ذخیره میکنند، آنها هدف جذابی برای دشمنان و هکرهای ،ت ملت هستند که ممکن است سعی کنند سرور را هک کنند و حملاتی را علیه کاربران انجام دهند. هافمن و توونگ ترانگ هشدار می دهند.
نتایج در اوایل سال جاری برای شرکت های تحت تأثیر قرار گرفت.
در حالی که Seafile متعهد به رسیدگی به این مشکلات است، سایرین مانند Sync و pCloud هنوز پاسخی نداده اند.
منبع: https://www.infosecurity-magazine.com/news/flaws-e2ee-cloud-storage-services/