VietNetwork.Vn

Các nhà nghiên cứu an ninh mạng đã phát hiện ra các vấn đề mật mã nghiêm trọng trong nhiều nền tảng lưu trữ đám mây được mã hóa đầu cuối (E2EE) có thể bị khai thác để làm rò rỉ dữ liệu nhạy cảm.

"Các lỗ hổng có mức độ nghiêm trọng khác nhau: trong nhiều trường hợp, máy chủ độc hại có thể tiêm tệp, giả mạo dữ liệu tệp và thậm chí có quyền truy cập trực tiếp vào văn bản thuần túy", các nhà nghiên cứu Jonas Hofmann và Kien Tuong Truong của ETH Zurich cho biết. "Điều đáng chú ý là nhiều cuộc tấn công của chúng tôi ảnh hưởng đến nhiều nhà cung cấp theo cùng một cách, tiết lộ các kiểu lỗi chung trong các thiết kế mật mã độc lập".


Các điểm yếu được xác định là kết quả của quá trình phân tích năm nhà cung cấp lớn như Sync, pCloud, Icedrive, Seafile và Tresorit. Các kỹ thuật tấn công được thiết kế dựa trên một máy chủ độc hại nằm dưới sự kiểm soát của kẻ thù, sau đó có thể được sử dụng để nhắm mục tiêu vào người dùng của nhà cung cấp dịch vụ.

Sau đây là mô tả ngắn gọn về các lỗ hổng được phát hiện trong hệ thống lưu trữ đám mây -

• Đồng bộ hóa, trong đó máy chủ độc hại có thể được sử dụng để phá vỡ tính bảo mật của các tệp được tải lên, cũng như chèn các tệp và làm giả nội dung của chúng
• pCloud, trong đó một máy chủ độc hại có thể được sử dụng để phá vỡ tính bảo mật của các tệp được tải lên, cũng như chèn các tệp và làm giả nội dung của chúng
• Seafile, trong đó một máy chủ độc hại có thể được sử dụng để tăng tốc độ tấn công bằng cách dùng vũ lực để lấy cắp mật khẩu người dùng, cũng như chèn tệp và làm giả nội dung của tệp
• Icedrive, trong đó một máy chủ độc hại có thể được sử dụng để phá vỡ tính toàn vẹn của các tệp được tải lên, cũng như chèn các tệp và làm giả nội dung của chúng
• Tresorit, trong đó một máy chủ độc hại có thể được sử dụng để trình bày các khóa không xác thực khi chia sẻ tệp và để giả mạo một số siêu dữ liệu trong bộ lưu trữ

Các cuộc tấn công này thuộc một trong 10 loại rộng vi phạm tính bảo mật, nhắm mục tiêu vào dữ liệu tệp và siêu dữ liệu, và cho phép đưa các tệp tùy ý vào -

• Thiếu xác thực tài liệu khóa người dùng (Sync và pCloud)
• Sử dụng khóa công khai chưa xác thực (Sync và Tresorit)
• Hạ cấp giao thức mã hóa (Seafile),
• Những cạm bẫy khi chia sẻ liên kết (Đồng bộ hóa)
• Sử dụng các chế độ mã hóa chưa xác thực như CBC (Icedrive và Seafile)
• Phân chia tệp không xác thực (Seafile và pCloud)
• Thay đổi tên tệp và vị trí (Sync, pCloud, Seafile và Icedrive)
• Làm giả siêu dữ liệu tệp (ảnh hưởng đến cả năm nhà cung cấp)
• Tiêm các thư mục vào bộ nhớ của người dùng bằng cách kết hợp tấn công chỉnh sửa siêu dữ liệu và khai thác một điểm kỳ lạ trong cơ chế chia sẻ (Đồng bộ hóa)
• Chèn các tập tin độc hại vào bộ nhớ của người dùng (pCloud)

"Không phải tất cả các cuộc tấn công của chúng tôi đều có bản chất tinh vi, điều đó có nghĩa là chúng nằm trong tầm với của những kẻ tấn công không nhất thiết phải có kỹ năng về mật mã. Trên thực tế, các cuộc tấn công của chúng tôi rất thực tế và có thể được thực hiện mà không cần nhiều nguồn lực", các nhà nghiên cứu cho biết trong một bài báo kèm theo.

"Ngoài ra, mặc dù một số cuộc tấn công này không phải là mới từ góc độ mật mã, nhưng chúng nhấn mạnh rằng lưu trữ đám mây E2EE khi triển khai trong thực tế thường gặp lỗi ở mức độ không đáng kể và thường không yêu cầu phân tích mật mã chuyên sâu hơn để phá vỡ."

Trong khi Icedrive đã chọn không giải quyết các vấn đề đã xác định sau khi tiết lộ có trách nhiệm vào cuối tháng 4 năm 2024, Sync, Seafile và Tresorit đã thừa nhận báo cáo. Hacker News đã liên hệ với từng công ty để có thêm bình luận và chúng tôi sẽ cập nhật câu chuyện nếu chúng tôi nhận được phản hồi.

Những phát hiện này được đưa ra hơn sáu tháng sau khi một nhóm học giả từ King's College London và ETH Zurich nêu chi tiết ba cuộc tấn công riêng biệt vào tính năng E2EE của Nextcloud, có thể bị lợi dụng để phá vỡ các đảm bảo về tính bảo mật và toàn vẹn.

Các nhà nghiên cứu cho biết vào thời điểm đó rằng: "Các lỗ hổng bảo mật khiến máy chủ Nextcloud độc hại có thể dễ dàng truy cập và thao túng dữ liệu của người dùng", đồng thời nhấn mạnh nhu cầu phải coi mọi hành động của máy chủ và dữ liệu đầu vào do máy chủ tạo ra là đối kháng để giải quyết vấn đề.

Vào tháng 6 năm 2022, các nhà nghiên cứu của ETH Zurich cũng đã chứng minh một số vấn đề bảo mật quan trọng trong dịch vụ lưu trữ đám mây MEGA có thể bị lợi dụng để phá vỡ tính bảo mật và toàn vẹn của dữ liệu người dùng.

Phản hồi từ các công ty: Icedrive - Chúng tôi biết về bài nghiên cứu này. Bài báo mô tả các cuộc tấn công có thể xảy ra trong mô hình đe dọa "máy chủ bị xâm phạm", trong đó kẻ tấn công giành được quyền kiểm soát hoàn toàn đối với máy chủ tệp và có thể sửa đổi hoặc xóa tệp. Bài báo cũng đề cập đến việc sử dụng máy chủ MITM phải có khả năng giải mã lưu lượng HTTPS/SSL.

Chúng tôi muốn trấn an người dùng rằng không có mối nguy hiểm thực sự nào đối với dữ liệu được mã hóa không cần kiến thức được lưu trữ trên máy chủ của chúng tôi - dữ liệu không thể được giải mã nếu không biết mật khẩu. Nếu ai đó giành được toàn quyền kiểm soát máy chủ tệp (bản thân nó không phải là một nhiệm vụ dễ dàng) và can thiệp vào tệp của người dùng, ứng dụng của chúng tôi sẽ phát hiện ra điều này bằng cách sử dụng các kiểm tra tính toàn vẹn của tệp mà chúng tôi có và sẽ không giải mã các tệp, đưa ra cảnh báo lỗi.

Chúng tôi liên tục cải thiện các ứng dụng và dịch vụ của mình, khắc phục sự cố và thêm các tính năng mới. Chúng tôi sẽ xem xét cẩn thận các phương pháp mã hóa của mình và cập nhật chúng để tuân thủ các tiêu chuẩn hiện hành của ngành.

Đồng bộ hóa - Nhóm bảo mật của chúng tôi đã biết về những vấn đề này vào ngày 11 tháng 10 và chúng tôi đã hành động nhanh chóng để giải quyết chúng. Chúng tôi cũng đã liên hệ với nhóm nghiên cứu để chia sẻ những phát hiện và hợp tác trong các bước tiếp theo.

Vấn đề rò rỉ dữ liệu tiềm ẩn trên các liên kết (như đã báo cáo) đã được khắc phục và chúng tôi đang nhanh chóng khắc phục các vấn đề tiềm ẩn còn lại ngay bây giờ. Như bài báo nghiên cứu đã nêu, các lỗ hổng này tồn tại dưới chiêu bài là máy chủ bị xâm phạm. Không có bằng chứng nào cho thấy các lỗ hổng này đã bị khai thác hoặc dữ liệu tệp đã bị truy cập.

Chúng tôi hiểu rằng khi sử dụng Sync, chúng tôi được tin tưởng. Nhưng lời hứa về mã hóa đầu cuối là bạn không cần phải tin tưởng bất kỳ ai, ngay cả chúng tôi. Khái niệm này là cốt lõi của mô hình mã hóa của chúng tôi và là trọng tâm trong những gì chúng tôi làm.

Chúng tôi cam kết giải quyết những vấn đề này.