Alguno almacenamiento en la nube Los proveedores que ofrecen cifrado de extremo a extremo (E2EE) están operando en gran medida un ecosistema roto que podría, en una teoría muy realista, permitir que los actores de amenazas manipulen los archivos de una manera que no debería ser posible, afirmaron los expertos.
En un análisis en profundidad, publicado recientemente en el sitio web Brokencloudstorage.info, los investigadores de ciberseguridad Jonas Hofmann y Kien Tuong Truong de ETF Zurich señalaron que si un actor de amenazas compromete el servidor de una empresa, puede “inyectar archivos, alterar los datos de los archivos e incluso obtener acceso directo al texto plano.”
Durante su investigación, los dos expertos analizaron cinco proveedores importantes en este campo: Sync, pCloud, Icedrive, Seafile y Tresorit, y concluyeron que “muchos de nuestros ataques afectan a múltiples proveedores de la misma manera, revelando patrones de falla comunes en diseños criptográficos independientes. “
Objetivos del estado-nación
En Sync y pCloud, se podría abusar de un servidor comprometido para romper la confidencialidad de los archivos cargados, inyectar archivos y alterar su contenido, mientras que para Seafile dicho servidor podría usarse para acelerar ataques de fuerza bruta, inyectar archivos y alterar el contenido.
Para Icedrive, los piratas informáticos podrían usar un servidor comprometido para romper la integridad de los archivos cargados, inyectar archivos y alterar su contenido, mientras que para Tresorid, un servidor roto podría usarse para presentar claves no auténticas al compartir archivos. Los delincuentes también podrían alterar algunos metadatos en el almacenamiento.
Los investigadores enfatizan que esto no significa que los proveedores de servicios sean maliciosos, sino que estas fallas los convierten en un objetivo importante para los actores de amenazas. Más importante aún: los actores que amenazan al Estado-nación. También agregaron que comprometer un servidor que pertenece a un proveedor de almacenamiento en la nube E2EE no es tan descabellado como podría parecer al principio.
De hecho, argumentan que es el modelo adversario “más realista” para el almacenamiento en la nube E2EE.
Se dice que la mayoría de los proveedores de servicios mencionados en el informe (Sync, Seafile y Tresorit) reconocieron el informe. Icedrive aún no ha solucionado el problema, mientras que todavía no hay informes para pCloud.
A través de Las noticias de los piratas informáticos