Siber güvenlik araştırmacıları, çeşitli uçtan uca şifrelenmiş (E2EE) bulut depolama platformlarında, hassas verileri sızdırmak için kullanılabilecek ciddi şifreleme sorunları keşfettiler.
ETH Zürih araştırmacıları Jonas Hofmann ve Kien Tuong Truong, “Güvenlik açıklarının ciddiyeti değişiyor: çoğu durumda kötü amaçlı bir sunucu dosyalar enjekte edebilir, dosya verilerine müdahale edebilir ve hatta düz metne doğrudan erişim sağlayabilir.” dedi. “Dikkate değer bir şekilde, saldırılarımızın birçoğu birden fazla sağlayıcıyı aynı şekilde etkiliyor ve bağımsız kriptografik tasarımlardaki ortak hata modellerini ortaya çıkarıyor.”
Belirlenen zayıflıklar, Sync, pCloud, Icedrive, Seafile ve Tresorit gibi beş büyük sağlayıcının analizinin sonucudur. Tasarlanan saldırı teknikleri, düşmanın kontrolü altındaki kötü amaçlı bir sunucuya dayanıyor ve bu sunucu daha sonra hizmet sağlayıcıların kullanıcılarını hedeflemek için kullanılabiliyor.
Bulut depolama sistemlerinde ortaya çıkan kusurların kısa açıklaması şu şekildedir:
- Kötü amaçlı bir sunucunun yüklenen dosyaların gizliliğini bozmak, dosyaları enjekte etmek ve içeriklerini değiştirmek için kullanılabileceği senkronizasyon
- Kötü amaçlı bir sunucunun yüklenen dosyaların gizliliğini bozmak, dosyaları enjekte etmek ve içeriklerini değiştirmek için kullanılabileceği pCloud
- Kötü amaçlı bir sunucunun, kullanıcı parolalarının kaba kuvvetle uygulanmasını hızlandırmanın yanı sıra dosyaları enjekte etmek ve içeriklerini değiştirmek için kullanılabileceği Seafile
- Kötü amaçlı bir sunucunun, yüklenen dosyaların bütünlüğünü bozmak, dosyaları enjekte etmek ve içeriklerini değiştirmek için kullanılabileceği Icedrive
- Kötü amaçlı bir sunucunun, dosyaları paylaşırken orijinal olmayan anahtarlar sunmak ve depolama alanındaki bazı meta verileri değiştirmek için kullanılabileceği Tresorit
Bu saldırılar gizliliği ihlal eden, dosya verilerini ve meta verileri hedef alan ve rastgele dosyaların eklenmesine izin veren 10 geniş sınıftan birine girer:
- Kullanıcı anahtarı materyalinde kimlik doğrulama eksikliği (Sync ve pCloud)
- Kimliği doğrulanmamış genel anahtarların kullanımı (Sync ve Tresorit)
- Şifreleme protokolü düşürme (Seafile),
- Bağlantı paylaşımındaki tuzaklar (Senkronizasyon)
- CBC (Icedrive ve Seafile) gibi kimliği doğrulanmamış şifreleme modlarının kullanılması
- Dosyaların kimlik doğrulaması olmadan parçalanması (Seafile ve pCloud)
- Dosya adlarında ve konumlarında değişiklik yapılması (Sync, pCloud, Seafile ve Icedrive)
- Dosya meta verilerinin değiştirilmesi (beş sağlayıcının tümünü etkiler)
- Meta veri düzenleme saldırısını birleştirerek ve paylaşım mekanizmasındaki bir tuhaflıktan yararlanarak (Senkronizasyon) klasörlerin kullanıcının depolama alanına eklenmesi
- Hileli dosyaların kullanıcının depolama alanına eklenmesi (pCloud)
Araştırmacılar, “Saldırılarımızın tümü doğası gereği karmaşık değil, bu da kriptografi konusunda yetenekli olmayan saldırganların erişebileceği anlamına geliyor. Gerçekten de saldırılarımız son derece pratik ve önemli kaynaklar olmadan gerçekleştirilebilir.” dedi. beraberindeki kağıt.
“Ayrıca, bu saldırılardan bazıları kriptografik açıdan yeni olmasa da, pratikte kullanılan E2EE bulut depolamasının önemsiz düzeyde başarısız olduğunu ve genellikle kırılması için daha derin kriptanaliz gerektirmediğini vurguluyor.”
Icedrive, Nisan 2024’ün sonlarında yapılan sorumlu açıklamanın ardından belirlenen sorunları ele almamayı tercih etse de Sync, Seafile ve Tresorit raporu kabul etti. Hacker News daha fazla yorum almak için her birine ulaştı ve geri dönüş alırsak hikayeyi güncelleyeceğiz.
Bulgular, King’s College London ve ETH Zürih’ten bir grup akademisyenin Nextcloud’un E2EE özelliğine yönelik gizlilik ve bütünlük garantilerini ihlal etmek için kötüye kullanılabilecek üç ayrı saldırıyı ayrıntılı olarak açıklamasından altı aydan biraz daha uzun bir süre sonra geldi.
Araştırmacılar, “Güvenlik açıkları, kötü niyetli bir Nextcloud sunucusunun kullanıcıların verilerine erişmesini ve bunları manipüle etmesini önemsiz hale getiriyor” dedi ve sorunları çözmek için tüm sunucu eylemlerini ve sunucu tarafından oluşturulan girdileri rakip olarak ele alma ihtiyacını vurguladı.
Haziran 2022’de ETH Zürih araştırmacıları, MEGA bulut depolama hizmetinde kullanıcı verilerinin gizliliğini ve bütünlüğünü bozmak için kullanılabilecek bir dizi kritik güvenlik sorununu da gösterdi.