Дыры в E2EE: как хакеры «меняют замки» в вашем облачном хранилище

Исследователи из ETH Zurich провели анализ безопасности пяти популярных сервисов облачного хранения данных со сквозным шифрованием: Sync, pCloud, Icedrive, Seafile и Tresorit. В ходе исследования специалисты выявили серьёзные уязвимости на четырёх платформах.

Обнаруженные ошибки позволяют вмешиваться в данные пользователей, подменять ключи шифрования, изменять содержимое файлов, а в некоторых случаях — получать доступ к конфиденциальной информации.

Сервисы активно используются более чем 22 миллионами человек, включая государственные и частные организации, такие как SAP, Pfizer, а также правительства Германии и Канады. В исследовании отмечается, что несмотря на активное продвижение услуг zero-knowledge encryption, маркетинговые заявления компаний не соответствуют реальной безопасности их систем.

Уязвимости включают отсутствие проверки подлинности ключей шифрования в сервисах Sync и pCloud, что позволяет хакерам подменять ключи и получать доступ к зашифрованным данным. В Sync и Tresorit отсутствует механизм проверки подлинности публичных ключей, что также открывает возможность для атак. Сервис Seafile подвержен атакам на понижение уровня безопасности, что позволяет киберпреступникам получить доступ к паролям пользователей.

Кроме того, исследователи выявили проблемы с метаданными файлов: во всех анализируемых сервисах злоумышленники могут изменять названия файлов, местоположение и другие важные параметры, что может привести к подмене файлов или дезинформации пользователей.

Специалисты отмечают, что многие из выявленных проблем можно было бы избежать при правильном использовании криптографических методов. Однако данные уязвимости говорят о том, что экосистема облачного хранения данных с E2EE в текущем виде имеет значительные недостатки, которые требуют срочного внимания со стороны разработчиков.