多款云存储平台存在安全漏洞,影响超2200万用户

据苏黎世联邦理工学院研究人员Jonas Hofmann和Kien Tuong Turong的发现,端到端加密(E2EE)云存储平台存在一系列安全问题,可能会使用户数据暴露给恶意行为者。在通过密码学分析后,研究人员揭示了Sync、pCloud、Icedrive、Seafile和Tresorit服务的问题,这些服务共同被超过2200万人使用。

该分析基于一个攻击者控制恶意服务器的威胁模型,该服务器可以随意读取、修改和注入数据,这对国家级行为者和复杂的黑客来说是现实的。其中不少问题是由于平台违背了用户隐私保护条款,这是数据泄露的前提。

苏黎世联邦理工学院的研究人员在上述五种产品中发现了严重的漏洞,包括允许恶意行为者注入文件、篡改数据或访问用户文件的实现。

以下是发现的问题的概述:

Sync的漏洞包括未认证的密钥材料,允许攻击者注入他们自己的加密密钥并危及数据;文件共享中缺乏公钥认证进一步使攻击者能够解密共享文件;共享链接将密码暴露给服务器,破坏了保密性。此外,攻击者可以在不被检测到的情况下重命名或移动文件,甚至可以将文件夹注入用户存储,使其看起来像是用户上传的。

pCloud的主要问题源于未认证的密钥材料,允许攻击者覆盖私钥并强制使用攻击者控制的密钥进行加密;公钥也未认证,使攻击者能够访问加密文件。此外,攻击者可以注入文件,操纵元数据如文件大小,并由于块过程中缺乏认证,重新排序或删除块。

Icedrive使用未认证的CBC加密,使其容易受到文件篡改的攻击,允许攻击者修改文件内容。文件名也可以被截断或更改。块过程缺乏认证,意味着攻击者可以重新排序或删除文件块,危及文件完整性。

Seafile容易受到协议降级的影响,使密码暴力破解变得更容易。它使用未认证的CBC加密允许文件篡改,未认证的块处理允许攻击者操纵文件块。文件名和位置也不安全,服务器可以将文件或文件夹注入用户存储。

Tresorit的公钥认证依赖于服务器控制的证书,攻击者可以替换这些证书以访问共享文件。元数据也容易受到篡改,允许攻击者更改文件创建详细信息并误导用户。

在检查的五个组中,Tresorit的表现相对较好,因为发现的问题不直接暴露文件内容或允许轻松的数据操纵。

对于研究人员报告的问题,Sync表示,我们的安全团队上周了解到这些问题,自那时以来我们已经迅速采取行动来解决它们。我们还联系了研究团队分享发现并合作进行下一步。

报告中提到的潜在数据泄露问题已经解决,我们现在正在快速跟踪解决剩余潜在问题的修复程序。正如研究论文所述,这些漏洞存在于服务器受到妥协的前提下。没有证据表明这些漏洞已被利用或文件数据已被访问。

端到端加密的承诺是,你不需要信任任何人,甚至我们。这个概念是我们加密模型的核心,也是我们所做的核心。

Tresorit表示,苏黎世联邦理工学院的世界级研究团队研究了端到端加密云存储系统面临的十类攻击的可能性,包括保密性破坏和文件注入漏洞。研究结果证实,Tresorit的设计和密码学选择使我们的系统基本上不受这些攻击的影响。

在Tresorit,安全是我们的首要任务,我们致力于持续改进,利用这些见解进一步加强我们的平台。这项研究不仅帮助我们进化,还指导更广泛的行业朝着更安全的解决方案发展沿。

相关推荐
一只小bit2 小时前
Linux网络:阿里云轻量级应用服务器配置防火墙模板开放端口
linux·网络·阿里云
帽儿山的枪手3 小时前
HVV期间,如何使用SSH隧道绕过内外网隔离限制?
linux·网络协议·安全
柏峰电子3 小时前
市政道路积水监测系统:守护城市雨天出行安全的 “智慧防线”
大数据·人工智能·安全
上海云盾商务经理杨杨3 小时前
2025数字藏品安全保卫战:高防CDN如何成为NFT应用的“隐形护甲”?
安全·网络安全
BachelorSC4 小时前
【网络工程师软考版】网络安全
网络·安全·web安全
(Charon)5 小时前
【C语言网络编程】HTTP 客户端请求(基于 Socket 的完整实现)
网络·网络协议·http
Bryce李小白6 小时前
Kotlin实现Retrofit风格的网络请求封装
网络·kotlin·retrofit
Lovyk7 小时前
Linux网络管理
服务器·网络·php
MC皮蛋侠客8 小时前
AsyncIOScheduler 使用指南:高效异步任务调度解决方案
网络·python·fastapi
不灭锦鲤8 小时前
网络安全第15集
安全·web安全