Le principali piattaforme di archiviazione cloud trovate con gravi vulnerabilità di sicurezza

I ricercatori di cybersecurity dell’ETH di Zurigo hanno scoperto gravi vulnerabilità crittografiche in diverse piattaforme di archiviazione cloud crittografate end-to-end (E2EE).

Queste vulnerabilità potrebbero consentire a un attore malevolo di accedere illegalmente ai dati sensibili dei clienti.

Jonas Hofmann e Kien Tuong Truong, ricercatori dell’ETH di Zurigo, in un nuovo rapporto, rivelano che nel contesto di un server malevolo, hanno eseguito un’analisi crittografica approfondita su cinque importanti fornitori di archiviazione cloud E2EE — Sync, pCloud, Icedrive, Seafile e Tresorit — che cumulativamente hanno oltre 22 milioni di utenti e hanno esposto le loro affermazioni di sicurezza nel mercato dei servizi di archiviazione.

“Le vulnerabilità che permeano l’archiviazione cloud E2EE evidenziano un punto cieco critico nella nostra comprensione del campo. I nostri risultati suggeriscono fortemente che, nella sua attuale fase, l’ecosistema di archiviazione cloud E2EE è in gran parte rotto e richiede una significativa rivalutazione delle sue fondamenta,” hanno scritto Truong e Hofmann nel rapporto.

I ricercatori hanno basato la loro analisi su un modello di minaccia in cui un attaccante ha il controllo su un server malevolo e la capacità di leggere, modificare e iniettare dati a piacimento – un approccio realistico per attori statali e hacker altamente qualificati.

Dopo l’analisi, i ricercatori hanno scoperto vulnerabilità su tutte e cinque le piattaforme che consentivano a un server malevolo sotto il controllo di un avversario di iniettare facilmente file nell’archiviazione crittografata degli utenti a piacimento, manomettere i dati dei file e persino ottenere accesso diretto al contenuto dei file.

Questo contraddiceva le affermazioni di marketing delle piattaforme e dava ai clienti un falso senso di sicurezza riguardo alla sicurezza dei loro dati.

I ricercatori hanno identificato dieci classi di attacchi su tutte e cinque le piattaforme di archiviazione cloud, suddivise in quattro categorie: riservatezza, dati del file target, metadati e iniezione di file arbitrari nell’archiviazione dell’utente.

Diamo un’occhiata alle classi di attacco:

• Mancanza di materiale di chiave autenticata che consente agli attaccanti di inserire le proprie chiavi di crittografia (Sync e pCloud)

• Chiavi pubbliche non autenticate (Sync e Tresorit)

• Downgrade del protocollo di crittografia che consente di tentare un attacco di forza bruta sulle password degli utenti (Seafile)

• Insidie nella condivisione dei link che codificano la password necessaria per decrittografare (Sync)

• Modalità di crittografia non autenticate come CBC che consentono a un attaccante di manomettere il contenuto dei file in modo semi-controllato (Icedrive e Seafile)

• Suddivisione non autenticata dei file che consente a un avversario di scambiare i chunk e rimuovere chunk dai file (Seafile e pCloud)

• Manomissione dei nomi e delle posizioni dei file (Sync, pCloud, Seafile e Icedrive)

• Manomissione dei metadati dei file (riguarda tutti e cinque i fornitori)

• Iniezione di cartelle (Sync)

• Iniezione di chiavi di file malevoli, insieme a contenuti di file malevoli nell’archiviazione dell’utente (pCloud)

“Non tutti i nostri attacchi sono sofisticati per natura, il che significa che sono alla portata di attaccanti che non sono necessariamente esperti in crittografia. Infatti, i nostri attacchi sono altamente pratici e possono essere eseguiti senza risorse significative,” hanno aggiunto i ricercatori.

“Inoltre, mentre alcuni di questi attacchi non sono nuovi da una prospettiva crittografica, sottolineano che l’archiviazione cloud E2EE così come implementata nella pratica fallisce a un livello banale e spesso non richiede un’analisi crittografica più profonda per essere compromessa.”

Nel trovare le vulnerabilità, Hofmann e Truong hanno seguito pratiche di divulgazione etica e hanno notificato a Sync, pCloud, Seafile e Icedrive le loro scoperte il 23 aprile 2024, con una finestra di divulgazione standard di 90 giorni.

Mentre Seafile e Icedrive hanno entrambi riconosciuto il problema, il team di Icedrive ha scelto di non affrontare le questioni sollevate. D’altra parte, Seafile ha promesso di risolvere il problema del downgrade del protocollo con un aggiornamento futuro.

Inoltre, il 27 settembre 2024, i ricercatori hanno contattato Tresorit per discutere potenziali miglioramenti nei loro specifici progetti crittografici.

Pcloud deve ancora commentare il rapporto dei ricercatori, mentre Sync, in una dichiarazione a BleepingComputer, ha detto: “Il nostro team di sicurezza è stato a conoscenza di questi problemi la scorsa settimana e da allora abbiamo preso provvedimenti rapidi per affrontarli. Abbiamo anche contattato il team di ricerca per condividere le scoperte e collaborare sui prossimi passi.”