Onderzoekers Jonas Hofmann en Kien Tuong Truong van de Eidgenössische Technische Hochschule Zürich (ETH Zürich) hebben verscheidene clouddiensten onderzocht. Daarbij ontdekten ze meerdere kwetsbaarheden in end-to-end versleutelde clouddiensten. Het was zelfs mogelijk om toegang tot gegevens te krijgen.
Zero-knowledge encryption
Het betreft Sync, pCloud, Icedrive en Seafile. Deze cloudbedrijven bieden end-to-end versleutelde opslag. Deze cloudproviders hebben, volgens eigen zeggen, geen toegang tot gebruikersgegevens. Ze omschrijven dit zelf als zero-knowledge encryption.
Kwetsbaarheden
De beveiligingslekken betreffen onder meer het niet authenticeren van user key material, waardoor een kwaadwillende zijn eigen keys kan injecteren. Andere kwetsbaarheden zijn ongeauthenticeerde public keys, protocol downgrades, het uitwisselen van bestanden via links, niet-geauthenticeerde encryptiemodes, ‘unauthenticated chunking’, het aanpassen van bestandsnamen en hun locatie, het aanpassen van de metadata van bestanden en het injecteren van mappen en bestanden.
Klik hier voor de paper van de onderzoekers van de ETH Zürich.