Principais Plataformas de Armazenamento em Nuvem Encontradas com Severas Falhas de Segurança

Pesquisadores em cibersegurança da ETH Zurich descobriram vulnerabilidades criptográficas severas em várias plataformas de armazenamento em nuvem com criptografia de ponta a ponta (E2EE).

Essas vulnerabilidades poderiam permitir que um ator malicioso acessasse ilegalmente os dados sensíveis dos clientes.

Jonas Hofmann e Kien Tuong Truong, pesquisadores da ETH Zurich, em um novo relatório, revelam que no cenário de um servidor malicioso, realizaram uma análise criptográfica aprofundada em cinco principais provedores de armazenamento em nuvem E2EE — Sync, pCloud, Icedrive, Seafile e Tresorit — que, juntos, possuem mais de 22 milhões de usuários e expuseram suas alegações de segurança no mercado de serviços de armazenamento.

“As vulnerabilidades que permeiam o armazenamento em nuvem E2EE destacam um ponto cego crítico em nossa compreensão do campo. Nossas descobertas sugerem fortemente que, em seu estágio atual, o ecossistema de armazenamento em nuvem E2EE está amplamente quebrado e requer uma reavaliação significativa de suas fundações”, escreveram Truong e Hofmann no relatório.

Os pesquisadores basearam sua análise em um modelo de ameaça no qual um atacante tem controle sobre um servidor malicioso e a capacidade de ler, modificar e injetar dados à vontade – uma abordagem realista para atores de estados-nação e hackers altamente qualificados.

Após a análise, os pesquisadores descobriram vulnerabilidades em todas as cinco plataformas que permitiram que um servidor malicioso sob o controle de um adversário injetasse facilmente arquivos no armazenamento criptografado dos usuários à vontade, adulterasse os dados dos arquivos e até mesmo obtivesse acesso direto ao conteúdo dos arquivos.

Isso contradisse as alegações de marketing das plataformas e deu aos clientes uma falsa sensação de segurança em relação à segurança de seus dados.

Os pesquisadores identificaram dez classes de ataques em todas as cinco plataformas de armazenamento em nuvem, que foram divididas em quatro categorias: confidencialidade, dados de arquivos-alvo, metadados e a injeção de arquivos arbitrários no armazenamento do usuário.

Vamos dar uma olhada nas classes de ataque:

• Falta de material de chave autenticado que permite que atacantes insiram suas próprias chaves de criptografia (Sync e pCloud)

• Chaves públicas não autenticadas (Sync e Tresorit)

• Downgrade do protocolo de criptografia que permite tentar força bruta das senhas dos usuários (Seafile)

• Armadilhas de compartilhamento de link que codificam a senha necessária para descriptografar (Sync)

• Modos de criptografia não autenticados, como CBC, que permitem que um atacante adulterasse o conteúdo dos arquivos de maneira semi-controlada (Icedrive e Seafile)

• Divisão não autenticada de arquivos que permite que um adversário troque partes e remova partes de arquivos (Seafile e pCloud)

• Adulteração de nomes e locais de arquivos (Sync, pCloud, Seafile e Icedrive)

• Adulteração de metadados de arquivos (afeta todos os cinco provedores)

• Injeção de pastas (Sync)

• Injeção de chaves de arquivos maliciosos, junto com conteúdo de arquivos maliciosos no armazenamento do usuário (pCloud)

“Nem todos os nossos ataques são sofisticados por natureza, o que significa que estão ao alcance de atacantes que não são necessariamente habilidosos em criptografia. De fato, nossos ataques são altamente práticos e podem ser realizados sem recursos significativos”, acrescentaram os pesquisadores.

“Além disso, embora alguns desses ataques não sejam novos do ponto de vista criptográfico, eles enfatizam que o armazenamento em nuvem E2EE, como implementado na prática, falha em um nível trivial e muitas vezes não requer uma criptanálise mais profunda para ser quebrado.”

Ao encontrar as vulnerabilidades, Hofmann e Truong seguiram práticas de divulgação ética e notificaram Sync, pCloud, Seafile e Icedrive sobre suas descobertas em 23 de abril de 2024, com uma janela de divulgação padrão de 90 dias.

Enquanto Seafile e Icedrive reconheceram o problema, a equipe do Icedrive optou por não abordar as questões levantadas. Por outro lado, a Seafile prometeu corrigir o problema de downgrade do protocolo com uma atualização futura.

Além disso, em 27 de setembro de 2024, os pesquisadores contataram a Tresorit para discutir melhorias potenciais em seus designs criptográficos específicos.

Pcloud ainda não comentou sobre o relatório dos pesquisadores, enquanto a Sync, em uma declaração ao BleepingComputer, disse: “Nossa equipe de segurança tomou conhecimento desses problemas na semana passada e, desde então, tomamos medidas rápidas para resolvê-los. Também entramos em contato com a equipe de pesquisa para compartilhar descobertas e colaborar nos próximos passos.”