Table of Contents
Análise Crítica das Vulnerabilidades em Sistemas de Armazenamento em Nuvem com Criptografia de Ponta a Ponta
A segurança cibernética em plataformas de armazenamento em nuvem com criptografia de ponta a ponta (E2EE) é fundamental para a proteção de dados sensíveis. Recentemente, pesquisadores da ETH Zurich identificaram sérias vulnerabilidades criptográficas em vários sistemas E2EE, que podem ser exploradas para vazamento de informações confidenciais.
“As vulnerabilidades variam em gravidade: em muitos casos, um servidor malicioso pode injetar arquivos, adulterar dados e até obter acesso direto ao texto original,” afirmam os pesquisadores Jonas Hofmann e Kien Tuong Truong.
Vulnerabilidades Identificadas
A análise foi realizada em cinco provedores principais: Sync, pCloud, Icedrive, Seafile e Tresorit. As técnicas de ataque dependem de um servidor malicioso sob controle do adversário, que pode direcionar os ataques contra os usuários desses serviços.
Descrição dos Flaws
As falhas identificadas nos sistemas de armazenamento em nuvem incluem:
- Sync: Um servidor malicioso pode quebrar a confidencialidade dos arquivos enviados, além de injetar e adulterar conteúdo.
- pCloud: Um servidor malicioso pode também comprometer a confidencialidade dos arquivos, injetar e adulterar conteúdo.
- Seafile: Um servidor malicioso pode acelerar o processo de força bruta das senhas dos usuários, além de injetar e adulterar arquivos.
- Icedrive: Um servidor malicioso pode comprometer a integridade dos arquivos enviados, bem como injetar e adulterar conteúdo.
- Tresorit: Um servidor malicioso pode apresentar chaves não autênticas ao compartilhar arquivos e adulterar alguns metadados no armazenamento.
Classes de Ataques
Esses ataques se enquadram em uma das dez classes amplas que violam a confidencialidade, direcionam dados e metadados de arquivos, e permitem a injeção de arquivos arbitrários:
- Falta de autenticação do material de chave do usuário (Sync e pCloud)
- Uso de chaves públicas não autenticadas (Sync e Tresorit)
- Desclasse do protocolo de criptografia (Seafile)
- Falhas no compartilhamento de links (Sync)
- Uso de modos de criptografia não autenticados, como CBC (Icedrive e Seafile)
- Fragmentação de arquivos não autenticada (Seafile e pCloud)
- Adulteração de nomes e localização de arquivos (Sync, pCloud, Seafile e Icedrive)
- Adulteração de metadados de arquivos (impacta todos os cinco provedores)
- Injeção de pastas no armazenamento do usuário através da combinação de ataque de edição de metadados e exploração de uma peculiaridade no mecanismo de compartilhamento (Sync)
- Injeção de arquivos maliciosos no armazenamento do usuário (pCloud)
“Nem todos os nossos ataques são sofisticados, o que significa que estão ao alcance de atacantes que não são necessariamente habilidosos em criptografia. De fato, nossos ataques são altamente práticos e podem ser realizados sem recursos significativos,” afirmaram os pesquisadores.
Os pesquisadores enfatizam que, embora alguns desses ataques não sejam novos do ponto de vista criptográfico, evidenciam que o armazenamento na nuvem E2EE, conforme implementado na prática, falha em um nível trivial, geralmente não exigindo uma análise criptográfica mais profunda para serem quebrados.
Resposta dos Provedores
Enquanto o Icedrive optou por não corrigir as questões identificadas após a divulgação responsável em abril de 2024, os provedores Sync, Seafile e Tresorit reconheceram o relatório. O Hacker News entrou em contato com cada um deles para comentários adicionais e atualizará a história assim que receber resposta.
Contexto Adicional
Essas descobertas surgem pouco mais de seis meses após um grupo de acadêmicos do King’s College London e da ETH Zurich ter detalhado três ataques distintos contra o recurso E2EE do Nextcloud que poderiam ser utilizados para violar garantias de confidencialidade e integridade.
“As vulnerabilidades tornam trivial para um servidor Nextcloud malicioso acessar e manipular os dados dos usuários,” observaram os pesquisadores, destacando a necessidade de tratar todas as ações e entradas geradas pelo servidor como adversariais.
Casos Anteriores
Em junho de 2022, pesquisadores da ETH Zurich também demonstraram diversas questões críticas de segurança no serviço de armazenamento em nuvem MEGA, que poderiam ser aproveitadas para quebrar a confidencialidade e integridade dos dados dos usuários.
#Cibersegurança, #ArmazenamentoEmNuvem, #Criptografia, #Vulnerabilidades, #E2EE, #ETHZurich, #Sync, #pCloud, #Seafile, #Hackers