Diversi servizi di archiviazione cloud con crittografia end-to-end (E2EE), utilizzati da milioni di persone, presentano gravi vulnerabilità che potrebbero esporre i dati degli utenti a potenziali attacchi. Un'analisi crittografica condotta da ricercatori dell'ETH di Zurigo, Jonas Hofmann e Kien Tuong Turong, ha rilevato problemi di sicurezza in piattaforme come Sync, pCloud, Icedrive, Seafile e Tresorit, le quali insieme contano oltre 22 milioni di utenti.
Lo studio si è basato su uno scenario in cui un attaccante controlla un server malevolo, potendo leggere, modificare e iniettare dati a piacimento. Questa minaccia è realistica, soprattutto per attacchi condotti da governi o hacker sofisticati. Secondo i ricercatori, molte delle vulnerabilità scoperte vanno contro le promesse fatte dai provider, creando una falsa percezione di sicurezza per i clienti.
Gravi problematiche per tutti i servizi analizzati
Nel dettaglio, sono emerse gravi problematiche in tutti e cinque i servizi analizzati. Ad esempio, Sync presenta lacune come la mancata autenticazione delle chiavi crittografiche, permettendo agli attaccanti di iniettare le proprie chiavi e compromettere i dati degli utenti. Altri problemi riguardano la gestione delle condivisioni di file e l'esposizione delle password al server. Anche pCloud soffre di debolezze simili, come la possibilità per gli attaccanti di sovrascrivere chiavi private e ottenere accesso ai file crittografati.
Icedrive è vulnerabile a manipolazioni dei file a causa della crittografia CBC non autenticata, mentre Seafile risente di un rischio di downgrade del protocollo, che facilita attacchi di forza bruta sulle password. Inoltre, la mancanza di autenticazione dei frammenti di file consente agli attaccanti di alterare o rimuovere porzioni di dati.
Tra i servizi esaminati, Tresorit si è rivelato relativamente più sicuro, con vulnerabilità meno gravi rispetto agli altri. Tuttavia, la sua autenticazione delle chiavi pubbliche dipende ancora da certificati controllati dal server, il che potrebbe aprire la porta a possibili attacchi. Le aziende coinvolte sono state informate delle falle di sicurezza ad aprile 2024, ma le risposte sono state diverse: mentre alcuni provider stanno lavorando per risolvere i problemi, altri non hanno ancora preso provvedimenti.