Новости Дыры в E2EE: как хакеры «меняют замки» в вашем облачном хранилище

NewsMaker

I'm just a script
Премиум
13,850
20
8 Ноя 2022
22 миллиона пользователей рискуют потерять свои данные из-за недостатков безопасности сервисов.


i0kfhd7891uoy5gp2ni1pbh3b5dpi5wf.jpg


Исследователи из ETH Zurich Для просмотра ссылки Войди или Зарегистрируйся пяти популярных сервисов облачного хранения данных со сквозным шифрованием: Sync, pCloud, Icedrive, Seafile и Tresorit. В ходе исследования специалисты выявили серьёзные уязвимости на четырёх платформах.

Обнаруженные ошибки позволяют вмешиваться в данные пользователей, подменять ключи шифрования, изменять содержимое файлов, а в некоторых случаях — получать доступ к конфиденциальной информации.

Сервисы активно используются более чем 22 миллионами человек, включая государственные и частные организации, такие как SAP , Pfizer, а также правительства Германии и Канады. В исследовании отмечается, что несмотря на активное продвижение услуг zero-knowledge encryption, маркетинговые заявления компаний не соответствуют реальной безопасности их систем.

Уязвимости включают отсутствие проверки подлинности ключей шифрования в сервисах Sync и pCloud, что позволяет хакерам подменять ключи и получать доступ к зашифрованным данным. В Sync и Tresorit отсутствует механизм проверки подлинности публичных ключей, что также открывает возможность для атак. Сервис Seafile подвержен атакам на понижение уровня безопасности, что позволяет киберпреступникам получить доступ к паролям пользователей.

Кроме того, исследователи выявили проблемы с метаданными файлов: во всех анализируемых сервисах злоумышленники могут изменять названия файлов, местоположение и другие важные параметры, что может привести к подмене файлов или дезинформации пользователей.

Специалисты отмечают, что многие из выявленных проблем можно было бы избежать при правильном использовании криптографических методов. Однако данные уязвимости говорят о том, что экосистема облачного хранения данных с E2EE в текущем виде имеет значительные недостатки, которые требуют срочного внимания со стороны разработчиков.
 
Источник новости
www.securitylab.ru

Похожие темы