Los investigadores de ciberseguridad han descubierto graves problemas criptográficos en varias plataformas de almacenamiento en la nube cifradas de extremo a extremo (E2EE) que podrían explotarse para filtrar datos confidenciales.
“Las vulnerabilidades varían en gravedad: en muchos casos un servidor malicioso puede inyectar archivos, manipular datos de archivos e incluso obtener acceso directo a texto plano”, afirman los investigadores de ETH Zurich Jonas Hofmann y Kien Tuong Truong dicho. “Sorprendentemente, muchos de nuestros ataques afectan a múltiples proveedores de la misma manera, revelando patrones de falla comunes en diseños criptográficos independientes”.
Las debilidades identificadas son el resultado de un análisis de cinco proveedores principales, como Sync, pCloud, Icedrive, Seafile y Tresorit. Las técnicas de ataque ideadas se basan en un servidor malicioso que está bajo el control de un adversario, que luego podría usarse para atacar a los usuarios de los proveedores de servicios.
Una breve descripción de las fallas descubiertas en los sistemas de almacenamiento en la nube es la siguiente:
- Sincronización, en la que se podría utilizar un servidor malicioso para romper la confidencialidad de los archivos cargados, además de inyectar archivos y alterar su contenido.
- pCloud, en el que se podría utilizar un servidor malicioso para romper la confidencialidad de los archivos cargados, además de inyectar archivos y alterar su contenido.
- Seafile, en el que se podría utilizar un servidor malicioso para acelerar la fuerza bruta de las contraseñas de los usuarios, así como inyectar archivos y alterar su contenido.
- Icedrive, en el que se podría utilizar un servidor malicioso para romper la integridad de los archivos cargados, además de inyectar archivos y alterar su contenido.
- Tresorit, en el que se podría utilizar un servidor malicioso para presentar claves no auténticas al compartir archivos y alterar algunos metadatos en el almacenamiento.
Estos ataques se clasifican en una de las 10 clases amplias que violan la confidencialidad, apuntan a datos y metadatos de archivos y permiten la inyección de archivos arbitrarios:
- Falta de autenticación del material de claves de usuario (Sync y pCloud)
- Uso de claves públicas no autenticadas (Sync y Tresorit)
- Degradación del protocolo de cifrado (Seafile),
- Errores al compartir enlaces (sincronización)
- Uso de modos de cifrado no autenticados como CBC (Icedrive y Seafile)
- Fragmentación de archivos no autenticados (Seafile y pCloud)
- Manipulación de nombres y ubicaciones de archivos (Sync, pCloud, Seafile y Icedrive)
- Manipulación de metadatos de archivos (afecta a los cinco proveedores)
- Inyección de carpetas en el almacenamiento de un usuario combinando el ataque de edición de metadatos y explotando una peculiaridad en el mecanismo de intercambio (Sincronización)
- Inyección de archivos no autorizados en el almacenamiento de un usuario (pCloud)
“No todos nuestros ataques son de naturaleza sofisticada, lo que significa que están al alcance de atacantes que no necesariamente son expertos en criptografía. De hecho, nuestros ataques son muy prácticos y pueden llevarse a cabo sin recursos significativos”, dijeron los investigadores en un documento adjunto.
“Además, si bien algunos de estos ataques no son novedosos desde una perspectiva criptográfica, enfatizan que el almacenamiento en la nube E2EE, tal como se implementa en la práctica, falla a un nivel trivial y, a menudo, no requiere un criptoanálisis más profundo para romperlo”.
Si bien Icedrive optó por no abordar los problemas identificados luego de la divulgación responsable a fines de abril de 2024, Sync, Seafile y Tresorit reconocieron el informe. The Hacker News se ha comunicado con cada uno de ellos para obtener más comentarios y actualizaremos la historia si recibimos una respuesta.
Los hallazgos se producen poco más de seis meses después de que un grupo de académicos del King’s College London y ETH Zurich detallaran tres ataques distintos contra la función E2EE de Nextcloud de los que se podría abusar para violar las garantías de confidencialidad e integridad.
“Las vulnerabilidades hacen que sea trivial para un servidor Nextcloud malicioso acceder y manipular los datos de los usuarios”, afirman los investigadores. dicho en ese momento, destacando la necesidad de tratar todas las acciones del servidor y las entradas generadas por el servidor como adversarias para abordar los problemas.
En junio de 2022, los investigadores de ETH Zurich también demostraron una serie de problemas de seguridad críticos en el servicio de almacenamiento en la nube MEGA que podrían aprovecharse para romper la confidencialidad e integridad de los datos del usuario.