Исследователи из ETH Zurich обнаружили критические уязвимости в пяти популярных сервисах хранения файлов в облаке со сквозным шифрованием (E2EE), угрозе оказались подвержены около 22 миллионов пользователей.
Команда, представившая результаты на конференции ACM по компьютерной и коммуникационной безопасности, изучила Sync, pCloud, Seafile, Icedrive и Tresorit, выявив, что четыре из этих сервисов содержат уязвимости, позволяющие злоумышленникам при доступе к серверу обходить защиту шифрования и получать доступ к файлам, изменять их или внедрять новые.
Например, у Sync и pCloud обнаружена уязвимость, позволяющая подмену ключей шифрования. Протокол шифрования Seafile допускает атаки методом перебора, а неаутентифицированные режимы шифрования Icedrive и Seafile делают возможным изменение содержимого файлов. Даже Tresorit, наиболее защищённый среди исследованных сервисов, показал некоторые уязвимости.
Исследователи рекомендуют установить полноценные стандарты E2EE для отрасли, так как подобные уязвимости широко распространены. PCloud не ответила на запрос до публикации исследования, Sync уже пообещал срочные исправления, а Seafile обновит свой протокол шифрования.
Источник новости: www.ferra.ru