Peneliti keamanan siber telah menemukan masalah kriptografi yang parah di berbagai platform penyimpanan cloud terenkripsi ujung ke ujung (E2EE) yang dapat dieksploitasi untuk membocorkan data sensitif.
“Keparahan kerentanannya beragam: dalam banyak kasus, server jahat dapat menyuntikkan file, merusak data file, dan bahkan mendapatkan akses langsung ke teks biasa,” kata peneliti ETH Zurich, Jonas Hofmann dan Kien Tuong Truong. “Hebatnya, banyak dari serangan kami mempengaruhi banyak penyedia dengan cara yang sama, mengungkapkan pola kegagalan umum dalam desain kriptografi independen.”
Kelemahan yang teridentifikasi merupakan hasil analisis terhadap lima penyedia besar seperti Sync, pCloud, Icedrive, Seafile, dan Tresorit. Teknik serangan yang dirancang bergantung pada server jahat yang berada di bawah kendali musuh, yang kemudian dapat digunakan untuk menargetkan pengguna penyedia layanan.
Penjelasan singkat tentang kelemahan yang ditemukan dalam sistem penyimpanan cloud adalah sebagai berikut –
- Sinkronisasi, di mana server jahat dapat digunakan untuk merusak kerahasiaan file yang diunggah, serta menyuntikkan file dan merusak kontennya
- pCloud, di mana server jahat dapat digunakan untuk merusak kerahasiaan file yang diunggah, serta menginjeksi file dan merusak kontennya
- Seafile, di mana server jahat dapat digunakan untuk mempercepat pemaksaan kata sandi pengguna, serta menyuntikkan file dan merusak kontennya
- Icedrive, di mana server jahat dapat digunakan untuk merusak integritas file yang diunggah, serta menyuntikkan file dan merusak kontennya
- Tresorit, di mana server jahat dapat digunakan untuk menyajikan kunci yang tidak asli saat berbagi file dan untuk merusak beberapa metadata dalam penyimpanan
Serangan-serangan ini termasuk dalam salah satu dari 10 kelas besar yang melanggar kerahasiaan, menargetkan data file dan metadata, dan memungkinkan injeksi file sewenang-wenang –
- Kurangnya otentikasi materi kunci pengguna (Sinkronisasi dan pCloud)
- Penggunaan kunci publik yang tidak diautentikasi (Sync dan Tresorit)
- Penurunan versi protokol enkripsi (Seafile),
- Jebakan berbagi tautan (Sinkronisasi)
- Penggunaan mode enkripsi yang tidak diautentikasi seperti CBC (Icedrive dan Seafile)
- Pengelompokan file yang tidak diautentikasi (Seafile dan pCloud)
- Merusak nama file dan lokasi (Sync, pCloud, Seafile, dan Icedrive)
- Merusak metadata file (berdampak pada kelima penyedia)
- Injeksi folder ke dalam penyimpanan pengguna dengan menggabungkan serangan pengeditan metadata dan mengeksploitasi kekhasan dalam mekanisme berbagi (Sinkronisasi)
- Injeksi file jahat ke dalam penyimpanan pengguna (pCloud)
“Tidak semua serangan kami bersifat canggih, yang berarti bahwa serangan tersebut berada dalam jangkauan penyerang yang belum tentu ahli dalam kriptografi. Memang, serangan kami sangat praktis dan dapat dilakukan tanpa sumber daya yang signifikan,” kata para peneliti dalam sebuah pernyataan. kertas yang menyertainya.
“Selain itu, meskipun beberapa serangan ini bukanlah hal baru dari sudut pandang kriptografi, serangan ini menekankan bahwa penyimpanan cloud E2EE yang diterapkan dalam praktiknya gagal pada tingkat yang sepele dan seringkali tidak memerlukan kriptanalisis yang lebih mendalam untuk memecahkannya.”
Meskipun Icedrive memilih untuk tidak mengatasi masalah yang teridentifikasi setelah pengungkapan yang bertanggung jawab pada akhir April 2024, Sync, Seafile, dan Tresorit telah mengakui laporan tersebut. The Hacker News telah menghubungi mereka masing-masing untuk memberikan komentar lebih lanjut, dan kami akan memperbarui ceritanya jika kami mendengarnya kembali.
Temuan ini muncul enam bulan lebih sedikit setelah sekelompok akademisi dari King's College London dan ETH Zurich merinci tiga serangan berbeda terhadap fitur E2EE Nextcloud yang dapat disalahgunakan untuk melanggar jaminan kerahasiaan dan integritas.
“Kerentanan ini membuat server Nextcloud yang berbahaya dapat mengakses dan memanipulasi data pengguna,” kata para peneliti pada saat itu, menyoroti perlunya memperlakukan semua tindakan server dan input yang dihasilkan server sebagai tindakan yang berlawanan untuk mengatasi masalah tersebut.
Pada bulan Juni 2022, peneliti ETH Zurich juga menunjukkan sejumlah masalah keamanan penting dalam layanan penyimpanan cloud MEGA yang dapat dimanfaatkan untuk merusak kerahasiaan dan integritas data pengguna.