Investigadores descubren graves fallos de seguridad en los principales proveedores de almacenamiento en la nube E2EE

Los investigadores de ciberseguridad han descubierto graves problemas criptográficos en varias plataformas de almacenamiento en la nube con cifrado de extremo a extremo (E2EE) que podrían explotarse para filtrar datos confidenciales.

«Las vulnerabilidades varían en gravedad: en muchos casos, un servidor malicioso puede inyectar archivos, manipular datos de archivos e incluso obtener acceso directo al texto sin formato», dijeron los investigadores de ETH Zurich Jonas Hofmann y Kien Tuong Truong . «Curiosamente, muchos de nuestros ataques afectan a múltiples proveedores de la misma manera, lo que revela patrones de falla comunes en diseños criptográficos independientes».

Las debilidades identificadas son el resultado de un análisis de cinco proveedores importantes como Sync, pCloud, Icedrive, Seafile y Tresorit. Las técnicas de ataque ideadas se basan en un servidor malicioso que está bajo el control de un adversario, que luego podría usarse para atacar a los usuarios de los proveedores de servicios.

A continuación se presenta una breve descripción de las fallas descubiertas en los sistemas de almacenamiento en la nube:

• Sincronización, en la que se podría utilizar un servidor malicioso para romper la confidencialidad de los archivos cargados, así como inyectar archivos y alterar su contenido.
• pCloud, en el que se podría utilizar un servidor malicioso para romper la confidencialidad de los archivos cargados, así como inyectar archivos y alterar su contenido
• Seafile, en el que se podría utilizar un servidor malicioso para acelerar la fuerza bruta de las contraseñas de los usuarios, así como para inyectar archivos y alterar su contenido.
• Icedrive, en el que se podría utilizar un servidor malicioso para romper la integridad de los archivos cargados, así como inyectar archivos y alterar su contenido
• Tresorit, en el que se podría utilizar un servidor malicioso para presentar claves no auténticas al compartir archivos y alterar algunos metadatos en el almacenamiento.

Estos ataques caen dentro de una de las 10 clases amplias que violan la confidencialidad, apuntan a datos de archivos y metadatos y permiten la inyección de archivos arbitrarios.

• Falta de autenticación del material de claves de usuario (Sync y pCloud)
• Uso de claves públicas no autenticadas (Sync y Tresorit)
• Degradación del protocolo de cifrado (Seafile),
• Problemas al compartir enlaces (Sync)
• Uso de modos de cifrado no autenticados como CBC (Icedrive y Seafile)
• Fragmentación de archivos no autenticada (Seafile y pCloud)
• Alteración de los nombres y la ubicación de los archivos (Sync, pCloud, Seafile y Icedrive)
• Manipulación de metadatos de archivos (afecta a los cinco proveedores)
• Inyección de carpetas en el almacenamiento de un usuario mediante la combinación del ataque de edición de metadatos y la explotación de una peculiaridad en el mecanismo de uso compartido (Sync)
• Inyección de archivos no autorizados en el almacenamiento de un usuario (pCloud)

«No todos nuestros ataques son sofisticados por naturaleza, lo que significa que están al alcance de atacantes que no necesariamente son expertos en criptografía. De hecho, nuestros ataques son sumamente prácticos y pueden llevarse a cabo sin recursos significativos», dijeron los investigadores en un artículo adjunto.

«Además, si bien algunos de estos ataques no son novedosos desde una perspectiva criptográfica, enfatizan que el almacenamiento en la nube E2EE tal como se implementa en la práctica falla a un nivel trivial y a menudo no requiere un criptoanálisis más profundo para romperlo».

Si bien Icedrive ha optado por no abordar los problemas identificados tras la divulgación responsable a fines de abril de 2024, Sync, Seafile y Tresorit han reconocido el informe. Hacker News se ha comunicado con cada uno de ellos para obtener más comentarios y actualizaremos la historia si recibimos respuesta.

Los hallazgos llegan poco más de seis meses después de que un grupo de académicos del King’s College de Londres y ETH Zurich detallaran tres ataques distintos contra la función E2EE de Nextcloud que podrían usarse para romper las garantías de confidencialidad e integridad.

«Las vulnerabilidades hacen que sea trivial para un servidor malicioso de Nextcloud acceder y manipular los datos de los usuarios», dijeron los investigadores en ese momento, destacando la necesidad de tratar todas las acciones del servidor y las entradas generadas por el servidor como adversarias para abordar los problemas.

En junio de 2022, los investigadores de ETH Zurich también demostraron una serie de problemas de seguridad críticos en el servicio de almacenamiento en la nube MEGA que podrían aprovecharse para violar la confidencialidad e integridad de los datos de los usuarios.

Fuente y redacción: thehakernews.com