Birkaç uçtan uca şifreli (E2EE) bulut depolama platformları, kullanıcı verilerini kötü amaçlı aktörlere maruz bırakabilecek bir dizi güvenlik sorununa karşı savunmasızdır.
ETH Zürih araştırmacıları Jonas Hofmann ve Kien Tuong Turong'un kriptografik analizleri, 22 milyondan fazla kişi tarafından toplu olarak kullanılan Sync, Pcloud, Icedrive, Seafile ve Tresorit hizmetleriyle ilgili sorunu ortaya koydu.
Analiz, ulus-devlet aktörleri ve sofistike hackerlar için gerçekçi olan, isteği okuyabilen, değiştirebilen ve enjekte edebilen kötü amaçlı bir sunucuyu kontrol eden bir saldırganın tehdit modeline dayanıyordu.
Ekip, keşfedilen kusurların birçoğunun, müşteriler için aldatıcı ve yanlış bir önerme yaratan platformların pazarlama vaatlerine doğrudan karşı olduğunu söylüyor.
ETH Zürih araştırmacıları, kötü amaçlı bir aktörün dosya enjekte etmesine, verilere kurcalamasına veya kullanıcı dosyalarına erişim kazanmasına izin veren uygulamalar da dahil olmak üzere beş ürünün hepsinde ciddi güvenlik açıkları buldu. İşte keşfedilen konulara genel bir bakış:
Beş kişilik incelenen gruptan Tresorit, keşfedilen sorunlar doğrudan dosya içeriğini açığa çıkarmadığından veya kolay veri manipülasyonuna izin vermediğinden nispeten daha iyi sonuç verdi.
Araştırmacılar, 23 Nisan 2024'te bulgularını SYNC, PCLOUD, SEAFILE ve Icedrive'a bildirdiler ve belirli kriptografik tasarımlarındaki potansiyel iyileştirmeleri tartışmak için 27 Eylül 2024'te Tresorit ile temasa geçti.
Ibedrive sorunları ele almamaya karar verdi, Seafile gelecekteki bir yükseltmede protokol düşürme problemini yamaya söz verdi, Sync ve Pcloud ise 10 Ekim 2024 itibariyle yanıt vermedi.
BleepingComputer, Hofmann ve Truong'un araştırması hakkında bir yorum için beş bulut servis sağlayıcısıyla temasa geçti ve aşağıdaki açıklamaları aldık.
Senkronizasyon: Güvenlik ekibimiz geçen hafta bu sorunların farkına vardı ve o zamandan beri bunları ele almak için hızlı bir şekilde hareket ettik. Ayrıca bulguları paylaşmak ve sonraki adımlarda işbirliği yapmak için araştırma ekibine de ulaştık.
Bağlantılardaki (bildirildiği gibi) potansiyel veri sızıntısı sorunu zaten düzeltildi ve şu anda kalan potansiyel sorunlar için hızlı izleme düzeltmeleri yapıyoruz. Araştırma makalesinin ana hatlarıyla belirtildiği gibi, bu güvenlik açıkları uzlaşmış bir sunucu bahanesi altında mevcuttur. Bu güvenlik açıklarının kullanıldığına veya dosya verilerine erişildiğine dair bir kanıt yoktur.
Senkronizasyon kullanarak güven bize yerleştirildiğini anlıyoruz. Ancak uçtan uca şifreleme vaadi, bize değil, kimseye güvenmeniz gerekmemesidir. Bu kavram şifreleme modelimizin merkezindedir ve yaptığımız işin merkezindedir.
Bu sorunları çözmeye kararlıyız.
TRESORIT: ETH Zürich'in birinci sınıf araştırma ekibinin incelenmesi, gizlilik ihlalleri ve dosya enjeksiyon güvenlik açıkları da dahil olmak üzere uçtan uca şifreli bulut depolama sistemlerine on sınıf saldırı olasılığını inceledi. Bulgular, Tresorit'in düşünceli tasarım ve kriptografik seçimlerinin sistemimizi bu saldırılardan büyük ölçüde etkilenmediğini doğruladı. Bu sonuçlardan memnun olsak da, araştırmanın vurgulanmamış potansiyeli de tanıyoruz.
Klasörleri paylaşırken kullanıcılara genel anahtar parmak izleri sunmak 2025 yol haritamızdadır. Bu, bant dışı doğrulamaya izin vererek anahtar değiştirme saldırılarını tamamen önleyecektir. Bunu zaten iş davetiyeleri için yapıyoruz, böylece kullanıcının katılmadan önce gelecekteki veri yöneticileri hakkında kriptografik kanıtlar alabilmesi. Ortak kriterlerimiz EAL4 + AVA_VAN.5 Değerlendirilmiş istemci yazılımı-bulut depolama hizmetleri arasında bir ilki-klasör paylaşımı için de bant dışı anahtar kimlik doğrulaması gerektirir.
Dosya boyutu, son değişiklik zamanı ve klasör üyelikleri gibi bazı meta veriler sunucularla paylaşılsa da, bunlar kurcalamayı önlemek için kriptografik olarak kimlik doğrulanmış veriler olarak saklanır. Bu meta verilerin sunucu tarafında da bilinmesi gerekmektedir: müşterilerimizin depolama kotasının uygun defter tutması ve ek bir güvenlik katmanı olarak sunucu tarafı erişim kurallarını uygulamak için.
Tresorit'te güvenlik bizim önceliğimizdir ve platformumuzu daha da güçlendirmek için bu bilgileri kullanarak sürekli iyileştirmeye kararlıyız. Bu araştırma sadece gelişmemize yardımcı olmakla kalmaz, aynı zamanda daha geniş endüstriyi daha güvenli çözümlere yönlendirir. Güvenlik, inşa ettiğimiz her şeyin temelidir ve güvenli bulut depolamasında inovasyonun ön saflarında kalmamızı sağlamak için Budapeşte'deki teknik üniversite gibi akademik kurumlarla işbirliği yapmaktan gurur duyuyoruz.
SeaFile: Şu anda yorum yapacak hiçbir şeyimiz yok.
Icedrive: Makale, bir düşmanın bir dosya sunucusu üzerinde tam kontrol kazandığı ve dosyaları değiştirebileceği veya silebileceği "tehlikeye atılan sunucu" tehdit modeli içindeki olası saldırıları açıklar. Makale ayrıca HTTPS/SSL trafiğini şifresini çözebilmesi gereken bir MITM sunucusunun kullanılmasından da bahsediyor.
Kullanıcılarımıza sunucularımızda saklanan sıfır bilgi şifreli veriler için gerçek bir tehlike olmadığı konusunda güvence vermek istiyoruz - parola bilmeden şifre çözülemez. Birisi bir dosya sunucusu üzerinde tam kontrol kazanırsa (ki bu kendi içinde kolay bir iş değildir) ve bir kullanıcının dosyalarına sahip sıkışırsa, uygulamalarımız, bir hata uyarısı vererek, dosyaların şifresini çözmeyeceğimiz ve şifresini çözmeyeceğimiz dosya bütünlüğü kontrollerini kullanarak bunu algılayacaktır.
Uygulamalarımızı ve hizmetlerimizi sürekli geliştiriyoruz, sorunları çözüyor ve yeni özellikler ekliyoruz. Şifreleme yöntemlerimizi dikkatlice gözden geçireceğiz ve mevcut endüstri standartlarına uymak için bunları güncelleyeceğiz.
Pcloud:
PCLOUD'da, kullanıcılarımızın verilerini korumak en yüksek önceliğimizdir. Şifreleme hizmetimiz, bilgilerinizin her zaman güvenli kalmasını sağlayarak üst düzey koruma sağlamak için tasarlanmıştır.
Teorik saldırı senaryolarını tartışan son araştırmaların farkındayız. Bu bulguların dosyalarınızın gerçek güvenliğini tehlikeye atmadığından emin olmak istiyoruz. Güvenlik araştırmasının önemini takdir etsek de, raporun bazı yönleri yanlışlıklar içeriyor veya gerçek dünya tehditlerini yansıtmayan son derece gerçekçi olmayan koşullara dayanıyor.
Tüm güvenlik endişelerini ciddiye alıyoruz ve kullanıcılarımızla şeffaflık yapmaya kararlıyız. Bu araştırmadan herhangi bir eyleme geçirilebilir içgörü ortaya çıkarsa, güvenlik önlemlerimizi daha da güçlendirmek için derhal geliştirmeler uygulayacağız.
Son derece güvenli bir bulut depolama çözümü sağlamaya adanmış kalıyoruz ve şifreleme hizmetimizin dünya çapında mevcut en güvenli seçenekler arasında olduğundan eminiz.
NVIDIA konteyneri araç setinde kritik kusur, tam ana bilgisayar devralmasına izin verir
CISA, Govt, kişisel verileri korumak için yeni güvenlik gereksinimleri öneriyor
AWS, Milyonlarca tarafından kullanılan Android ve iOS uygulamalarında bulunan Azure Auth Keys
Abonelikleri atın - bu Koofr bulut depolama anlaşması ömür boyu sadece 120 dolar
89 $ size ömür boyu süren 2 TB FileJump Bulut Depolama
Kaynak: Bleeping Computer