Onderzoekers ontdekken ernstige beveiligingsfouten bij grote E2EE-cloudopslagproviders

Cyberbeveiliging
Major E2EE Cloud Storage Providers

Cybersecurity-onderzoekers hebben ernstige cryptografische problemen ontdekt in verschillende end-to-end gecodeerde (E2EE) cloudopslagplatforms die kunnen worden misbruikt om gevoelige gegevens te lekken.

“De kwetsbaarheden variëren in ernst: in veel gevallen kan een kwaadwillende server bestanden injecteren, met bestandsgegevens knoeien en zelfs directe toegang krijgen tot platte tekst”, aldus ETH Zürich-onderzoekers Jonas Hofmann en Kien Tuong Truong. “Opmerkelijk is dat veel van onze aanvallen meerdere providers op dezelfde manier treffen, waardoor gemeenschappelijke foutpatronen in onafhankelijke cryptografische ontwerpen aan het licht komen.”

De geïdentificeerde zwakke punten zijn het resultaat van een analyse van vijf grote providers zoals Sync, pCloud, Icedrive, Seafile en Tresorit. De bedachte aanvalstechnieken zijn gebaseerd op een kwaadaardige server die onder controle staat van een tegenstander, die vervolgens kan worden gebruikt om de gebruikers van de serviceproviders aan te vallen.

Een korte beschrijving van de tekortkomingen die zijn ontdekt in de cloudopslagsystemen is als volgt:

  • Sync, waarbij een kwaadaardige server kan worden gebruikt om de vertrouwelijkheid van geüploade bestanden te doorbreken, maar ook om bestanden te injecteren en met hun inhoud te knoeien
  • pCloud, waarbij een kwaadaardige server kan worden gebruikt om de vertrouwelijkheid van geüploade bestanden te doorbreken, maar ook om bestanden te injecteren en met hun inhoud te knoeien
  • Seafile, waarin een kwaadaardige server kan worden gebruikt om het brute forceren van gebruikerswachtwoorden te versnellen, evenals het injecteren van bestanden en het knoeien met hun inhoud
  • Icedrive, waarbij een kwaadaardige server kan worden gebruikt om de integriteit van geüploade bestanden te doorbreken, maar ook om bestanden te injecteren en met hun inhoud te knoeien
  • Tresorit, waarbij een kwaadaardige server kan worden gebruikt om niet-authentieke sleutels te presenteren bij het delen van bestanden en om met bepaalde metagegevens in de opslag te knoeien

Deze aanvallen vallen in een van de tien brede klassen die de vertrouwelijkheid schenden, zich richten op bestandsgegevens en metagegevens en de injectie van willekeurige bestanden mogelijk maken:

  • Gebrek aan authenticatie van gebruikerssleutelmateriaal (Sync en pCloud)
  • Gebruik van niet-geverifieerde publieke sleutels (Sync en Tresorit)
  • Downgrade van het encryptieprotocol (Seafile),
  • Valkuilen bij het delen van links (synchronisatie)
  • Gebruik van niet-geverifieerde encryptiemodi zoals CBC (Icedrive en Seafile)
  • Niet-geverifieerde chunking van bestanden (Seafile en pCloud)
  • Knoeien met bestandsnamen en locatie (Sync, pCloud, Seafile en Icedrive)
  • Knoeien met metagegevens van bestanden (is van invloed op alle vijf providers)
  • Injectie van mappen in de opslag van een gebruiker door de aanval op het bewerken van metagegevens te combineren met het exploiteren van een eigenaardigheid in het deelmechanisme (synchronisatie)
  • Injectie van frauduleuze bestanden in de opslag van een gebruiker (pCloud)

“Niet al onze aanvallen zijn geavanceerd van aard, wat betekent dat ze binnen het bereik liggen van aanvallers die niet noodzakelijkerwijs bedreven zijn in cryptografie. Onze aanvallen zijn inderdaad zeer praktisch en kunnen zonder aanzienlijke middelen worden uitgevoerd”, aldus de onderzoekers in een begeleidend papier.

“Hoewel sommige van deze aanvallen vanuit cryptografisch perspectief niet nieuw zijn, benadrukken ze bovendien dat E2EE-cloudopslag zoals die in de praktijk wordt ingezet op een triviaal niveau faalt en vaak geen diepgaandere cryptanalyse vereist om te doorbreken.”

Hoewel Icedrive ervoor heeft gekozen de geïdentificeerde problemen na de verantwoorde openbaarmaking eind april 2024 niet aan te pakken, hebben Sync, Seafile en Tresorit het rapport erkend. The Hacker News heeft met elk van hen contact opgenomen voor verder commentaar, en we zullen het verhaal bijwerken als we iets horen.

De bevindingen komen iets meer dan zes maanden nadat een groep academici van King’s College London en ETH Zurich drie verschillende aanvallen op de E2EE-functie van Nextcloud hebben beschreven die kunnen worden misbruikt om vertrouwelijkheids- en integriteitsgaranties te schenden.

“De kwetsbaarheden maken het triviaal voor een kwaadaardige Nextcloud-server om toegang te krijgen tot de gegevens van gebruikers en deze te manipuleren”, zeiden de onderzoekers destijds, waarbij ze de noodzaak benadrukten om alle serveracties en door de server gegenereerde invoer als vijandig te behandelen om de problemen aan te pakken.

In juni 2022 hebben onderzoekers van ETH Zürich ook een aantal kritieke beveiligingsproblemen in de MEGA-cloudopslagdienst aangetoond die kunnen worden ingezet om de vertrouwelijkheid en integriteit van gebruikersgegevens te doorbreken.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Hoe Android de digitale transformatie voor onze bedrijven kan stimuleren

Waarom Android-apparaten grote voordelen bieden voor gamers

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]