Pesquisadores em segurança cibernética da ETH Zurich descobriram vulnerabilidades críticas em diversas plataformas de armazenamento em nuvem criptografadas de ponta a ponta (E2EE).
Essas falhas de segurança podem expor dados confidenciais dos usuários a ataques, permitindo que agentes maliciosos acessem informações privadas de forma ilegal.
No estudo liderado por Jonas Hofmann e Kien Tuong Truong, foi realizada uma análise aprofundada em cinco grandes provedores de armazenamento E2EE: Sync, pCloud, Icedrive, Seafile e Tresorit. Essas plataformas somam mais de 22 milhões de usuários.
Segundo os pesquisadores, "as vulnerabilidades que permeiam o armazenamento em nuvem E2EE possuem um ponto cego crítico [...]", apontando para a necessidade urgente de uma reavaliação das bases do sistema.
As vulnerabilidades descobertas
Os pesquisadores usaram um modelo de ameaça em que o invasor teria controle sobre um servidor malicioso, sendo capaz de ler, modificar e injetar dados à vontade. Esse cenário é realista para ataques de hackers experientes e atores patrocinados por estados-nação.
A análise revelou falhas em todas as cinco plataformas, permitindo a injeção de arquivos, modificação de dados e até mesmo acesso direto ao conteúdo dos arquivos armazenados.
Os ataques identificados foram classificados em quatro categorias principais: confidencialidade, manipulação de dados de arquivos, adulteração de metadados e injeção de arquivos arbitrários. Veja alguns exemplos das classes de ataque:
- Falta de autenticação de chaves criptográficas: Facilita a inserção de chaves maliciosas em plataformas como Sync e pCloud.
- Uso de chaves públicas não autenticadas: Encontrado nas plataformas Sync e Tresorit.
- Rebaixamento de protocolo de criptografia: Torna possível ataques de força bruta contra senhas, principalmente no Seafile.
- Modos de criptografia não autenticados: Permitem a modificação semiautônoma dos arquivos no Icedrive e Seafile.
- Fragmentação de arquivos não autenticada: Invasores podem trocar ou remover fragmentos de arquivos no Seafile e pCloud.
- Manipulação de nomes e locais de arquivos: Identificada em Sync, pCloud, Seafile e Icedrive.
- Adulteração de metadados: Afeta todos os cinco provedores.
- Injeção de pastas maliciosas: Identificada na plataforma Sync.
De acordo com os pesquisadores, muitos dos ataques são "altamente práticos e podem ser realizados sem recursos significativos", apontando que as falhas presentes nos sistemas atuais de armazenamento E2EE são, em grande parte, triviais de explorar.
Respostas das empresas às vulnerabilidades
Após a identificação das falhas, os pesquisadores seguiram as práticas éticas de divulgação, notificando as empresas em 23 de abril de 2024 e concedendo um prazo de 90 dias para que resolvessem os problemas. A resposta das plataformas variou:
- Seafile reconheceu a falha e prometeu corrigir o problema de downgrade de protocolo em uma atualização futura.
- Icedrive confirmou a existência das falhas, mas optou por não implementar correções no momento.
- Sync afirmou ter tomado medidas rápidas para corrigir os problemas e está colaborando com os pesquisadores para encontrar soluções.
- Tresorit foi contatada para discussões sobre melhorias em seu sistema criptográfico em setembro de 2024.
- pCloud ainda não fez comentários públicos sobre as descobertas.
Para quem utiliza essas plataformas, é importante ter consciência dos riscos potenciais ao armazenar seus dados sensíveis.
Apesar de as falhas não serem necessariamente exploradas em larga escala, a exposição existe e usuários devem considerar alternativas para proteger seus dados, como o uso de camadas adicionais de criptografia antes de enviar arquivos para a nuvem.
Manter os softwares sempre atualizados e evitar compartilhamento de links sem criptografia também são boas práticas de segurança.
