资讯公告
  • 你的位置:
  • 首页
  • >
  • 资讯公告
  • >
  • 安全
  • >
  • E2EE加密云存储服务存在安全漏洞
E2EE加密云存储服务存在安全漏洞
发布时间:2024-11-07 发布者:域风网

E2EE加密云存储服务存在安全漏洞


苏黎世联邦理工学院的研究人员在几种广泛使用的端到端加密(E2EE)云存储服务中发现了重大安全漏洞。


这些加密漏洞可以让攻击者绕过加密、破坏文件机密性、篡改数据,甚至将未经授权的文件注入用户的存储空间。


这项研究分析了五家E2EE云存储提供商--Sync、pCloud、Seafile、Icedrive和Tresorit--它们总共为全球约2200万用户提供服务。每家服务提供商都承诺采用强大的加密技术来保护文件,防止未经授权的访问,甚至是服务提供商的访问。


然而,研究人员 Jonas Hofmann 和 Kien Tuong Truong 发现,这五种服务中有四种存在严重缺陷,可能会削弱保护功能。他们的研究结果在 ACM 计算机与通信安全(CCS)会议上公布,凸显了服务提供商在 E2EE 安全承诺方面的潜在漏洞。


Tresorit 脱颖而出,但并非完美无瑕


在接受测试的服务中,Tresorit 的漏洞最少,只有元数据被篡改和文件共享过程中出现非真实密钥的小风险。虽然不那么严重,但这些问题在某些情况下仍可能构成风险。相比之下,其他四种服务的安全漏洞更大,增加了数据暴露或被篡改的几率。


E2EE 的关键漏洞和现实威胁


为了评估 E2EE 的安全强度,研究人员测试了十种不同的攻击场景,假设攻击者已经获得了对云服务器的控制权,并拥有读取、修改或注入数据的权限。虽然这种访问水平不太可能实现,但研究认为,即使在这种情况下,E2EE 也应该是有效的。一些值得注意的漏洞包括


  • 未经验证的密钥材料: 研究发现 Sync 和 pCloud 都有未经验证的加密密钥,允许攻击者插入自己的密钥、解密文件并访问敏感数据。
  • 公钥替换: Sync 和 Tresorit 在文件共享过程中存在未经授权的密钥替换漏洞,允许攻击者拦截或更改文件。
  • 协议降级攻击: Seafile 使用的协议允许降级到较弱的加密标准,使其更容易受到暴力破解攻击。


在 Icedrive 和 Seafile 中还发现了其他风险,它们使用未经验证的加密模式,允许攻击者修改和破坏文件内容。此外,跨多个服务的 “分块 ”过程中的漏洞可能会允许攻击者重新排序、删除或更改文件片段,从而破坏文件的完整性。


提供商提供响应和下一步措施


2024 年 4 月,研究人员与 Sync、pCloud、Seafile 和 Icedrive 分享了他们的发现。它们的回应各不相同,Sync 和 pCloud 尚未做出回应,Seafile 准备修补协议降级问题,而 Icedrive 则拒绝解决这些问题。Tresorit 确认收到,但拒绝透露更多信息。


根据 BleepingComputer 的最新报道,Sync 表示他们正在 “快速跟踪修复程序”,并已经解决了文件共享链接中的一些数据泄露问题。


苏黎世联邦理工学院的研究人员认为,这些安全漏洞在许多 E2EE 云存储平台上都很常见,因此需要进一步调查,并制定标准化协议,以确保该行业的安全加密。

文章相关标签: E2EE 云存储 安全漏洞
购物车
业务咨询:
售后服务: