21 de octubre de 2024Ravie LakshmananCifrado/protección de datos Investigadores de ciberseguridad han descubierto graves problemas criptográficos en varias plataformas de almacenamiento en la nube cifradas de extremo a extremo (E2EE) que podrían explotarse para filtrar datos confidenciales. “Las vulnerabilidades varían en gravedad: en muchos casos un servidor malicioso puede inyectar archivos, manipular datos de archivos e incluso obtener acceso directo a texto plano”, dijeron los investigadores de ETH Zurich Jonas Hofmann y Kien Tuong Truong. “Sorprendentemente, muchos de nuestros ataques afectan a múltiples proveedores de la misma manera, revelando patrones de falla comunes en diseños criptográficos independientes”. Las debilidades identificadas son el resultado de un análisis de cinco proveedores principales, como Sync, pCloud, Icedrive, Seafile y Tresorit. Las técnicas de ataque ideadas se basan en un servidor malicioso que está bajo el control de un adversario, que luego podría usarse para atacar a los usuarios de los proveedores de servicios. Una breve descripción de los fallos descubiertos en los sistemas de almacenamiento en la nube es la siguiente: Sync, en el que se podría utilizar un servidor malicioso para romper la confidencialidad de los archivos cargados, así como inyectar archivos y alterar su contenido pCloud, en el que un malware El servidor podría usarse para romper la confidencialidad de los archivos cargados, así como para inyectar archivos y alterar su contenido. Seafile, en el que se podría usar un servidor malicioso para acelerar la fuerza bruta de las contraseñas de los usuarios, así como para inyectar archivos y alterar su contenido. con su contenido Icedrive, en el que se podría utilizar un servidor malicioso para romper la integridad de los archivos cargados, así como inyectar archivos y alterar su contenido Tresorit, en el que se podría utilizar un servidor malicioso para presentar claves no auténticas al compartir archivos y alterar algunos metadatos en el almacenamiento. Estos ataques caen dentro de una de las 10 clases amplias que violan la confidencialidad, apuntan a datos de archivos y metadatos, y permiten la inyección de archivos arbitrarios – Falta de autenticación del material de claves de usuario (Sync y pCloud) Uso de claves públicas no autenticadas (Sync y Tresorit) Degradación del protocolo de cifrado (Seafile), Errores al compartir enlaces (Sync) Uso de modos de cifrado no autenticados como CBC (Icedrive y Seafile) Fragmentación de archivos no autenticados (Seafile y pCloud) Manipulación de nombres de archivos y ubicación (Sync, pCloud, Seafile y Icedrive) Manipulación de metadatos de archivos (afecta a los cinco proveedores) Inyección de carpetas en el almacenamiento de un usuario combinando el ataque de edición de metadatos y explotando una peculiaridad en el mecanismo de intercambio (Sync) Inyección de archivos no autorizados en el almacenamiento de un usuario (pCloud) “No todos nuestros ataques son de naturaleza sofisticada, lo que significa que están al alcance de atacantes que no necesariamente son expertos en criptografía. De hecho, nuestros ataques son muy prácticos y pueden llevarse a cabo sin recursos significativos”, dijeron los investigadores en un documento adjunto. “Además, si bien algunos de estos ataques no son novedosos desde una perspectiva criptográfica, enfatizan que el almacenamiento en la nube E2EE tal como se implementa en la práctica falla a un nivel trivial y, a menudo, no requiere un criptoanálisis más profundo para romperse”. Si bien Icedrive optó por no abordar los problemas identificados luego de la divulgación responsable a fines de abril de 2024, Sync, Seafile y Tresorit reconocieron el informe. The Hacker News se ha comunicado con cada uno de ellos para obtener más comentarios, y actualizaremos la historia si recibimos noticias. Los hallazgos llegan poco más de seis meses después de que un grupo de académicos del King’s College London y ETH Zurich detallaran tres ataques distintos contra la función E2EE de Nextcloud. “Las vulnerabilidades hacen que sea trivial para un servidor malicioso de Nextcloud acceder y manipular los datos de los usuarios”, dijeron los investigadores en ese momento, destacando la necesidad de tratar todas las acciones del servidor y las generadas por el servidor. insumos como confrontativos para abordar los problemas. En junio de 2022, los investigadores de ETH Zurich también demostraron una serie de problemas de seguridad críticos en el servicio de almacenamiento en la nube MEGA que podrían aprovecharse para romper la confidencialidad e integridad de los datos del usuario. ¿Encontró interesante este artículo? Síganos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
Leave a Reply