自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

多款云存儲(chǔ)平臺(tái)存在安全漏洞,影響超2200萬(wàn)用戶

作者:流蘇_
安全
在通過密碼學(xué)分析后,研究人員揭示了Sync、pCloud、Icedrive、Seafile和Tresorit服務(wù)的問題,這些服務(wù)共同被超過2200萬(wàn)人使用。

據(jù)蘇黎世聯(lián)邦理工學(xué)院研究人員Jonas Hofmann和Kien Tuong Turong的發(fā)現(xiàn),端到端加密(E2EE)云存儲(chǔ)平臺(tái)存在一系列安全問題,可能會(huì)使用戶數(shù)據(jù)暴露給惡意行為者。在通過密碼學(xué)分析后,研究人員揭示了Sync、pCloud、Icedrive、Seafile和Tresorit服務(wù)的問題,這些服務(wù)共同被超過2200萬(wàn)人使用。

該分析基于一個(gè)攻擊者控制惡意服務(wù)器的威脅模型,該服務(wù)器可以隨意讀取、修改和注入數(shù)據(jù),這對(duì)國(guó)家級(jí)行為者和復(fù)雜的黑客來說是現(xiàn)實(shí)的。其中不少問題是由于平臺(tái)違背了用戶隱私保護(hù)條款,這是數(shù)據(jù)泄露的前提。

蘇黎世聯(lián)邦理工學(xué)院的研究人員在上述五種產(chǎn)品中發(fā)現(xiàn)了嚴(yán)重的漏洞,包括允許惡意行為者注入文件、篡改數(shù)據(jù)或訪問用戶文件的實(shí)現(xiàn)。

以下是發(fā)現(xiàn)的問題的概述:

Sync的漏洞包括未認(rèn)證的密鑰材料,允許攻擊者注入他們自己的加密密鑰并危及數(shù)據(jù);文件共享中缺乏公鑰認(rèn)證進(jìn)一步使攻擊者能夠解密共享文件;共享鏈接將密碼暴露給服務(wù)器,破壞了保密性。此外,攻擊者可以在不被檢測(cè)到的情況下重命名或移動(dòng)文件,甚至可以將文件夾注入用戶存儲(chǔ),使其看起來像是用戶上傳的。pCloud的主要問題源于未認(rèn)證的密鑰材料,允許攻擊者覆蓋私鑰并強(qiáng)制使用攻擊者控制的密鑰進(jìn)行加密;公鑰也未認(rèn)證,使攻擊者能夠訪問加密文件。此外,攻擊者可以注入文件,操縱元數(shù)據(jù)如文件大小,并由于塊過程中缺乏認(rèn)證,重新排序或刪除塊。Icedrive使用未認(rèn)證的CBC加密,使其容易受到文件篡改的攻擊,允許攻擊者修改文件內(nèi)容。文件名也可以被截?cái)嗷蚋摹K過程缺乏認(rèn)證,意味著攻擊者可以重新排序或刪除文件塊,危及文件完整性。Seafile容易受到協(xié)議降級(jí)的影響,使密碼暴力破解變得更容易。它使用未認(rèn)證的CBC加密允許文件篡改,未認(rèn)證的塊處理允許攻擊者操縱文件塊。文件名和位置也不安全,服務(wù)器可以將文件或文件夾注入用戶存儲(chǔ)。Tresorit的公鑰認(rèn)證依賴于服務(wù)器控制的證書,攻擊者可以替換這些證書以訪問共享文件。元數(shù)據(jù)也容易受到篡改,允許攻擊者更改文件創(chuàng)建詳細(xì)信息并誤導(dǎo)用戶。在檢查的五個(gè)組中,Tresorit的表現(xiàn)相對(duì)較好,因?yàn)榘l(fā)現(xiàn)的問題不直接暴露文件內(nèi)容或允許輕松的數(shù)據(jù)操縱。

對(duì)于研究人員報(bào)告的問題,Sync表示,我們的安全團(tuán)隊(duì)上周了解到這些問題,自那時(shí)以來我們已經(jīng)迅速采取行動(dòng)來解決它們。我們還聯(lián)系了研究團(tuán)隊(duì)分享發(fā)現(xiàn)并合作進(jìn)行下一步。

報(bào)告中提到的潛在數(shù)據(jù)泄露問題已經(jīng)解決,我們現(xiàn)在正在快速跟蹤解決剩余潛在問題的修復(fù)程序。正如研究論文所述,這些漏洞存在于服務(wù)器受到妥協(xié)的前提下。沒有證據(jù)表明這些漏洞已被利用或文件數(shù)據(jù)已被訪問。

端到端加密的承諾是,你不需要信任任何人,甚至我們。這個(gè)概念是我們加密模型的核心,也是我們所做的核心。

Tresorit表示,蘇黎世聯(lián)邦理工學(xué)院的世界級(jí)研究團(tuán)隊(duì)研究了端到端加密云存儲(chǔ)系統(tǒng)面臨的十類攻擊的可能性,包括保密性破壞和文件注入漏洞。研究結(jié)果證實(shí),Tresorit的設(shè)計(jì)和密碼學(xué)選擇使我們的系統(tǒng)基本上不受這些攻擊的影響。

在Tresorit,安全是我們的首要任務(wù),我們致力于持續(xù)改進(jìn),利用這些見解進(jìn)一步加強(qiáng)我們的平臺(tái)。這項(xiàng)研究不僅幫助我們進(jìn)化,還指導(dǎo)更廣泛的行業(yè)朝著更安全的解決方案發(fā)展沿。

參考來源:https://www.bleepingcomputer.com/news/security/severe-flaws-in-e2ee-cloud-storage-platforms-used-by-millions/

責(zé)任編輯:趙寧寧 來源: FreeBuf
漏洞網(wǎng)絡(luò)安全
相關(guān)推薦

2009-02-25 15:10:38

2022-12-08 09:47:29

2012-07-19 09:41:18

郵箱泄露安全漏洞

2009-09-17 12:51:04

2011-11-16 12:45:43

2012-06-08 10:32:33

2022-09-05 11:25:22

惡意瀏覽器Chrome惡意擴(kuò)展

2014-06-03 09:23:41

2020-07-29 15:09:56

Dave數(shù)據(jù)泄露數(shù)據(jù)庫(kù)泄露

2023-06-13 15:55:54

2014-02-14 15:44:46

2010-07-30 16:02:56

2014-06-03 11:36:18

2022-08-31 15:57:41

START數(shù)據(jù)泄露黑客

2021-05-09 10:25:07

漏洞Remote MousMouse Trap

2015-12-31 10:57:10

2011-10-28 10:17:11

2009-07-29 12:30:33

2019-02-21 10:11:49

2010-11-22 12:56:37

點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)