多款云存储平台存在安全漏洞,影响超2200万用户

据苏黎世联邦理工学院研究人员Jonas Hofmann和Kien Tuong Turong的发现,端到端加密(E2EE)云存储平台存在一系列安全问题,可能会使用户数据暴露给恶意行为者。在通过密码学分析后,研究人员揭示了Sync、pCloud、Icedrive、Seafile和Tresorit服务的问题,这些服务共同被超过2200万人使用。

该分析基于一个攻击者控制恶意服务器的威胁模型,该服务器可以随意读取、修改和注入数据,这对国家级行为者和复杂的黑客来说是现实的。其中不少问题是由于平台违背了用户隐私保护条款,这是数据泄露的前提。

苏黎世联邦理工学院的研究人员在上述五种产品中发现了严重的漏洞,包括允许恶意行为者注入文件、篡改数据或访问用户文件的实现。

以下是发现的问题的概述:

Sync的漏洞包括未认证的密钥材料,允许攻击者注入他们自己的加密密钥并危及数据;文件共享中缺乏公钥认证进一步使攻击者能够解密共享文件;共享链接将密码暴露给服务器,破坏了保密性。此外,攻击者可以在不被检测到的情况下重命名或移动文件,甚至可以将文件夹注入用户存储,使其看起来像是用户上传的。
pCloud的主要问题源于未认证的密钥材料,允许攻击者覆盖私钥并强制使用攻击者控制的密钥进行加密;公钥也未认证,使攻击者能够访问加密文件。此外,攻击者可以注入文件,操纵元数据如文件大小,并由于块过程中缺乏认证,重新排序或删除块。
Icedrive使用未认证的CBC加密,使其容易受到文件篡改的攻击,允许攻击者修改文件内容。文件名也可以被截断或更改。块过程缺乏认证,意味着攻击者可以重新排序或删除文件块,危及文件完整性。
Seafile容易受到协议降级的影响,使密码暴力破解变得更容易。它使用未认证的CBC加密允许文件篡改,未认证的块处理允许攻击者操纵文件块。文件名和位置也不安全,服务器可以将文件或文件夹注入用户存储。
Tresorit的公钥认证依赖于服务器控制的证书,攻击者可以替换这些证书以访问共享文件。元数据也容易受到篡改,允许攻击者更改文件创建详细信息并误导用户。
在检查的五个组中,Tresorit的表现相对较好,因为发现的问题不直接暴露文件内容或允许轻松的数据操纵。

对于研究人员报告的问题,Sync表示,我们的安全团队上周了解到这些问题,自那时以来我们已经迅速采取行动来解决它们。我们还联系了研究团队分享发现并合作进行下一步。

报告中提到的潜在数据泄露问题已经解决,我们现在正在快速跟踪解决剩余潜在问题的修复程序。正如研究论文所述,这些漏洞存在于服务器受到妥协的前提下。没有证据表明这些漏洞已被利用或文件数据已被访问。

端到端加密的承诺是,你不需要信任任何人,甚至我们。这个概念是我们加密模型的核心,也是我们所做的核心。

Tresorit表示,苏黎世联邦理工学院的世界级研究团队研究了端到端加密云存储系统面临的十类攻击的可能性,包括保密性破坏和文件注入漏洞。研究结果证实,Tresorit的设计和密码学选择使我们的系统基本上不受这些攻击的影响。

在Tresorit,安全是我们的首要任务,我们致力于持续改进,利用这些见解进一步加强我们的平台。这项研究不仅帮助我们进化,还指导更广泛的行业朝着更安全的解决方案发展沿。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/883312.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

一位Go开发者的深度访谈:从进阶到实战,《Let’s Go Further!》如何开拓Go语言新世界

读者:我最近在学习Go,发现构建API和Web应用方面还是有很多挑战,尤其是需要兼顾代码架构、性能和扩展性。您作为一位Go语言技术专家,怎么看《Let’s Go Further!》这本书呢? 专家:这本书确实很有意思。《Le…

【npm的软硬原理】

npm link用来在本地项目和本地npm模块之间建立连接,可以在本地进行模块测试 具体用法: 1. 项目和模块在同一个目录下,可以使用相对路径 npm link …/module 2. 项目和模块不在同一个目录下 cd到模块目录,npm link&#xff0c…

三维管线管网建模工具MagicPipe3D V3.5.3

经纬管网建模系统MagicPipe3D,本地离线参数化构建地下管网三维模型(包括管道、接头、附属设施等),输出标准3DTiles、Obj模型等格式,支持Cesium、Unreal、Unity、Osg等引擎加载进行三维可视化、语义查询、专题分析&…

【Android】MVP架构

MVP架构简介 MVP(Model-View-Presenter)是一种常见的软件架构模式,尤其在Android应用开发中被广泛使用。它将应用程序分为三层:Model、View 和 Presenter,以实现职责分离,提高代码的可维护性和可测试性。 …

设计模式4 适配器 (adapter)

一句话,适配器按照客户的需求, 适配当前已有的接口。 目标接口:reqeust() public interface Target {void request(); //this is client needed interface }已有接口:specificRequest package com.example.adapter;import android.uti…

基于自适应VSG控制的光伏混合储能构网型逆变系统MATLAB仿真模型

模型简介 此模型源侧部分采用光伏发电系统与混合储能系统(蓄电池超级电容),并网逆变器采用虚拟同步发电机(VSG)控制,为系统提供惯量阻尼支撑。同时对VSG控制部分进行了改进,采用构造函数法对虚…

论文阅读(二十九):Multi-scale Interactive Network for Salient Object Detection

文章目录 Abstract1.Introduction2.Scale VariationProposed Method3.1Network Overview3.2Aggregate Interaction Module3.3 Self-Interaction Module3.4Consistency-Enhanced Loss 4.Experiments4.1Implementation Details4.2 Comparison with State-of-the-arts4.3Ablation …

了解AIGC——自然语言处理与生成

AIGC——自然语言处理与生成:揭秘AI如何生成语言 近年来,AIGC(AI Generated Content)技术迅猛发展,自然语言处理(Natural Language Processing, NLP)与生成技术的结合,使得机器不仅…

宝塔-修改docker加速镜像-daemon.json配置文件格式错误!

一:一般docker的加速配置文件在:/etc/docker/daemon.json 1.1但是有时会发现没有这个文件可以用vim /etc/docker/daemon.json 加上这个文件 {"registry-mirrors": ["https://ccr.ccs.tencentyun.com","https://自己的阿里的…

【力扣】[Java版] 刷题笔记-21. 合并两个有序链表

题目: 21. 合并两个有序链表 将两个升序链表合并为一个新的 升序 链表并返回。新链表是通过拼接给定的两个链表的所有节点组成的。 解题思路 从题目和示例可以看出,应该是要循环遍历链表进行比较,然后组成新的链表。 第一种:递归…

存储过程(SQL)

1.存储过程 存储过程(Stored Procedure)是一组为了完成特定功能的SQL语句集,经编译后存储在数据库中,用户通过指定存储过程的名字并给定参数(如果该存储过程带有参数)来调用执行它。 2.MySQL存储过程创建…

PostgreSQL的前世今生

PostgreSQL的起源可以追溯到1977年的加州大学伯克利分校(UC Berkeley)的Ingres项目。该项目由著名的数据库科学家Michael Stonebraker领导,他是2015年图灵奖的获得者。以下是PostgreSQL起源的详细概述: 一、早期发展 Ingres项目…

Python自动化会议记录与摘要生成

前言 在现代工作环境中,会议是团队沟通和决策的重要方式。然而,整理会议记录和生成摘要往往是一项耗时且容易出错的任务。幸运的是,借助Python编程语言以及一些强大的库,我们可以自动化这一过程,让机器帮助我们完成这…

大模型训练、微调数据集

MNBVC 地址:https://github.com/esbatmop/MNBVC 数据集说明:超大规模中文语料集,不但包括主流文化,也包括各个小众文化甚至火星文的数据。MNBVC数据集包括新闻、作文、小说、书籍、杂志、论文、台词、帖子、wiki、古诗、歌词、商品…

LabVIEW换流变换器智能巡检系统

基于LabVIEW的换流变换器智能巡检系统通过自动化检测和数据分析,提高换流变换器的运行效率和可靠性,降低人工维护成本。 项目背景: 换流变压器作为电力系统的重要组成部分,其性能的可靠性直接影响到整个电网的稳定运行。然而&…

完美解决phpstudy安装后mysql无法启动

phpstudy数据库无法启动有以下几个原因。 一、自己在电脑上安装了MySQL数据库,MySQL的服务名为MySQL,这会与phpstudy的数据库的服务名发生冲突,从而造成phpstudy中的数据库无法启动,这时我们只需要将自己安装的MySQL的服务名改掉就行。 但是&#xff0…

软件测试的重要一环:「性能测试」怎么做?

性能测试是软件测试中的重要一环,今天给大家介绍性能测试及如何使用RunnerGo完成性能测试任务。 性能测试是什么? 一句话概括:不断地通过不同场景的系统表现去探究系统设计与资源消耗之间的平衡,为开发人员提供消除瓶颈所需的诊…

Android Audio基础——音频混音线程介绍(十)

MixerThread 是 Android 音频输出的核心部分,主要负责将多个音频流混合成一个输出流,通常用于处理多个音频源(如音乐播放器、语音通话、系统提示音等)的混音操作,混音后的音频数据会被发送到音频硬件(如扬声器或耳机)进行最终输出。大多数 Android 的音频都需要经过 Mix…

Ajax:表单 模板引擎

Ajax&#xff1a;表单 & 模板引擎 form 表单form 属性 Ajax操控表单事件监听阻止默认行为收集表单数据 模板引擎art-template{{}}语法原文输出条件输出循环输出过滤器 原理 form 表单 在HTML中&#xff0c;可以通过<form>创建一个表单&#xff0c;收集用户信息。而采…

B/S架构(Browser/Server)与C/S架构(Client/Server)

基本概念 B/S架构&#xff08;Browser/Server&#xff09;&#xff1a;即浏览器/服务器架构。在这种架构中&#xff0c;用户通过浏览器&#xff08;如Chrome、Firefox、Safari等&#xff09;访问服务器上的应用程序。服务器端负责处理业务逻辑、存储数据等核心功能&#xff0c;…