苏黎世联邦理工学院的研究人员在几种广泛使用的端到端加密(E2EE)云存储服务中发现了重大安全漏洞。
这些加密漏洞可以让攻击者绕过加密、破坏文件机密性、篡改数据,甚至将未经授权的文件注入用户的存储空间。
这项研究分析了五家E2EE云存储提供商--Sync、pCloud、Seafile、Icedrive和Tresorit--它们总共为全球约2200万用户提供服务。每家服务提供商都承诺采用强大的加密技术来保护文件,防止未经授权的访问,甚至是服务提供商的访问。
然而,研究人员 Jonas Hofmann 和 Kien Tuong Truong 发现,这五种服务中有四种存在严重缺陷,可能会削弱保护功能。他们的研究结果在 ACM 计算机与通信安全(CCS)会议上公布,凸显了服务提供商在 E2EE 安全承诺方面的潜在漏洞。
在接受测试的服务中,Tresorit 的漏洞最少,只有元数据被篡改和文件共享过程中出现非真实密钥的小风险。虽然不那么严重,但这些问题在某些情况下仍可能构成风险。相比之下,其他四种服务的安全漏洞更大,增加了数据暴露或被篡改的几率。
为了评估 E2EE 的安全强度,研究人员测试了十种不同的攻击场景,假设攻击者已经获得了对云服务器的控制权,并拥有读取、修改或注入数据的权限。虽然这种访问水平不太可能实现,但研究认为,即使在这种情况下,E2EE 也应该是有效的。一些值得注意的漏洞包括
在 Icedrive 和 Seafile 中还发现了其他风险,它们使用未经验证的加密模式,允许攻击者修改和破坏文件内容。此外,跨多个服务的 “分块 ”过程中的漏洞可能会允许攻击者重新排序、删除或更改文件片段,从而破坏文件的完整性。
2024 年 4 月,研究人员与 Sync、pCloud、Seafile 和 Icedrive 分享了他们的发现。它们的回应各不相同,Sync 和 pCloud 尚未做出回应,Seafile 准备修补协议降级问题,而 Icedrive 则拒绝解决这些问题。Tresorit 确认收到,但拒绝透露更多信息。
根据 BleepingComputer 的最新报道,Sync 表示他们正在 “快速跟踪修复程序”,并已经解决了文件共享链接中的一些数据泄露问题。
苏黎世联邦理工学院的研究人员认为,这些安全漏洞在许多 E2EE 云存储平台上都很常见,因此需要进一步调查,并制定标准化协议,以确保该行业的安全加密。
上一条: 思科将目光投向量子数据中心
下一条: 思科物联网无线接入点遭遇严重漏洞