นักวิจัยค้นพบช่องโหว่ด้านความปลอดภัยที่ร้ายแรงในผู้ให้บริการ Cloud Storage รายใหญ่ที่ใช้การเข้ารหัสแบบ End-to-End (E2EE)

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบปัญหาด้านการเข้ารหัสที่ร้ายแรงในแพลตฟอร์ม cloud storage ที่ใช้การเข้ารหัสแบบ End-to-End (E2EE) หลายราย ซึ่งอาจถูกโจมตีเพื่อขโมยข้อมูลที่สำคัญได้

Jonas Hofmann และ Kien Tuong Truong นักวิจัยจากสถาบัน ETH Zurich ระบุว่า "ช่องโหว่เหล่านี้มีระดับความรุนแรงที่แตกต่างกัน ในหลายกรณี เซิร์ฟเวอร์ที่เป็นอันตรายสามารถ inject files เปลี่ยนแปลงข้อมูลในไฟล์ และแม้กระทั่งเข้าถึงข้อมูลที่ไม่ได้เข้ารหัสได้โดยตรง นอกจากนี้สิ่งที่น่าสนใจคือ การโจมตีหลายรูปแบบส่งผลกระทบต่อผู้ให้บริการหลายรายในลักษณะเดียวกัน ซึ่งแสดงให้เห็นถึงรูปแบบของช่องโหว่ที่พบได้บ่อยในการออกแบบการเข้ารหัสของแต่ละรายที่พัฒนาขึ้นมาอย่างอิสระ"

ช่องโหว่เหล่านี้ถูกค้นพบจากการวิเคราะห์ผู้ให้บริการรายใหญ่ 5 ราย ได้แก่ Sync, pCloud, Icedrive, Seafile และ Tresorit เทคนิคการโจมตีที่พัฒนาขึ้นนั้น อาศัยเซิร์ฟเวอร์ที่เป็นอันตรายที่อยู่ภายใต้การควบคุมของผู้โจมตี ซึ่งสามารถนำไปใช้ในการโจมตีผู้ใช้บริการของผู้ให้บริการเหล่านี้ได้

คำอธิบายสั้น ๆ เกี่ยวกับช่องโหว่ที่พบในระบบ cloud storage มีดังนี้

  • Sync - เซิร์ฟเวอร์ที่เป็นอันตรายสามารถใช้เพื่อ break confidentiality ของไฟล์ที่อัปโหลด รวมถึงการ injecting files และการแก้ไขปลอมแปลงเนื้อหาในไฟล์ได้
  • pCloud - เซิร์ฟเวอร์ที่เป็นอันตรายสามารถใช้เพื่อ break confidentiality ของไฟล์ที่อัปโหลด รวมถึงการ injecting files และการแก้ไขปลอมแปลงเนื้อหาในไฟล์ได้
  • Seafile - เซิร์ฟเวอร์ที่เป็นอันตรายสามารถนำมาใช้เพื่อเร่งความเร็วการโจมตีแบบ brute-force เพื่อเดารหัสผ่านของผู้ใช้ รวมถึงการ injecting files และแก้ไขเนื้อหาในไฟล์ได้
  • Icedrive - เซิร์ฟเวอร์ที่เป็นอันตรายสามารถนำมาใช้เพื่อ break integrity ของไฟล์ที่อัปโหลด รวมถึงการ injecting files และแก้ไขเนื้อหาในไฟล์ได้
  • Tresorit - เซิร์ฟเวอร์ที่เป็นอันตรายสามารถใช้ในการแสดง non-authentic keys ในระหว่างการแชร์ไฟล์ และสามารถปลอมแปลงข้อมูล metadata บางส่วนในพื้นที่จัดเก็บได้

การโจมตีเหล่านี้จัดอยู่ 1 ใน 10 ประเภทหลัก ที่เป็นการละเมิด confidentiality ของข้อมูล โดยมุ่งเป้าการโจมตีไปที่ข้อมูลไฟล์ และ metadata รวมถึงเปิดโอกาสให้มีการ injection ไฟล์ใด ๆ ก็ได้ตามต้องการ

  • การขาดการตรวจสอบความถูกต้องข้อมูลคีย์ของผู้ใช้ (Sync และ pCloud)
  • การใช้คีย์สาธารณะที่ไม่มีการตรวจสอบความถูกต้อง (Sync และ Tresorit)
  • การ downgrade โปรโตคอลการเข้ารหัส (Seafile)
  • ช่องโหว่ในการแชร์ลิงก์ (Sync)
  • การใช้โหมดการเข้ารหัสที่ไม่มีการตรวจสอบความถูกต้อง เช่น CBC (Icedrive และ Seafile)
  • การแบ่งไฟล์ออกเป็นส่วน ๆ โดยไม่มีการตรวจสอบความถูกต้อง (Seafile และ pCloud)
  • การแก้ไขชื่อไฟล์ และตำแหน่งที่ตั้ง (Sync, pCloud, Seafile, และ Icedrive)
  • การแก้ไขข้อมูล metadata ของไฟล์ (ส่งผลกระทบต่อผู้ให้บริการทั้ง 5 ราย)
  • การ Injection โฟลเดอร์เข้าไปในพื้นที่จัดเก็บข้อมูลของผู้ใช้ โดยผสานการโจมตีด้วยการแก้ไข metadata และใช้ประโยชน์จากความผิดปกติในกลไกการแชร์ (Sync)
  • การ Injection ไฟล์ที่เป็นอันตรายเข้าไปในพื้นที่จัดเก็บข้อมูลของผู้ใช้ (pCloud)

นักวิจัยระบุในงานวิจัยที่เกี่ยวข้องว่า "การโจมตีของเราไม่ได้มีความซับซ้อนมากนัก ซึ่งหมายความว่าผู้โจมตีก็ไม่จำเป็นต้องมีทักษะด้านการเข้ารหัสก็สามารถทำได้ การโจมตีของเรามีความเป็นไปได้สูงในทางปฏิบัติ และสามารถดำเนินการได้โดยไม่ต้องใช้ทรัพยากรมากนัก"

"นอกจากนี้ แม้ว่าการโจมตีบางรูปแบบจะไม่ใช่เรื่องใหม่ในแง่ของการเข้ารหัส แต่ก็ชี้ให้เห็นว่า การจัดเก็บข้อมูลบนระบบคลาวด์แบบ E2EE ที่ใช้งานจริงในปัจจุบันนั้นล้มเหลวในระดับพื้นฐาน และมักไม่จำเป็นต้องใช้การวิเคราะห์การเข้ารหัสที่ซับซ้อนก็สามารถทำการเจาะระบบได้"

แม้ว่า Icedrive จะเลือกที่จะไม่แก้ไขปัญหาที่พบหลังจากมีการเปิดเผยในช่วงปลายเดือนเมษายน 2024 แต่ Sync, Seafile และ Tresorit ได้รับทราบรายงานแล้ว The Hacker News ได้ติดต่อไปยังแต่ละบริษัทเพื่อขอความคิดเห็นเพิ่มเติม และจะอัปเดตข่าวนี้หากได้รับการตอบกลับ

การค้นพบนี้เกิดขึ้นหลังจากที่กลุ่มนักวิชาการจาก King's College London และ ETH Zurich ได้เปิดเผยรายละเอียดการโจมตี 3 รูปแบบต่อฟีเจอร์ E2EE ของ Nextcloud เมื่อหกเดือนก่อน ซึ่งสามารถนำไปใช้ในการโจมตีเพื่อ break confidentiality และ integrity ของข้อมูลได้

นักวิจัยระบุว่า "ช่องโหว่เหล่านี้ทำให้เซิร์ฟเวอร์ Nextcloud ที่เป็นอันตรายสามารถเข้าถึง และจัดการข้อมูลของผู้ใช้ได้อย่างง่ายดาย" ซึ่งแสดงให้เห็นถึงความจำเป็นที่จะต้องถือว่าการกระทำทั้งหมดของเซิร์ฟเวอร์ และข้อมูลที่สร้างจากเซิร์ฟเวอร์นั้นเป็นการกระทำที่ผิด เพื่อแก้ไขปัญหาเหล่านี้

ย้อนกลับไปในเดือนมิถุนายน 2022 นักวิจัยจาก ETH Zurich ยังได้แสดงให้เห็นถึงปัญหาด้านความปลอดภัยระดับ critical หลายประการ ในบริการจัดเก็บข้อมูลบนคลาวด์ของ MEGA ซึ่งสามารถนำไปใช้ในการ break confidentiality และ integrity ของข้อมูลของผู้ใช้ได้

ข้อมูลเพิ่มเติมจากบริษัทต่าง ๆ ที่ทาง The Hacker News ได้สอบถามไป

Icedrive - บริษัททราบถึงงานวิจัยฉบับนี้แล้ว งานวิจัยนี้อธิบายถึงการโจมตีที่เป็นไปได้ภายใต้ "compromised server" threat model ซึ่งผู้โจมตีสามารถควบคุม file server ได้ทั้งหมด และสามารถแก้ไข หรือลบไฟล์ได้ งานวิจัยยังกล่าวถึงการใช้เซิร์ฟเวอร์แบบ MITM ซึ่งต้องสามารถถอดรหัสการเข้ารหัส HTTPS/SSL ได้

บริษัทขอให้ผู้ใช้มั่นใจว่า ไม่มีอันตรายต่อข้อมูลที่เข้ารหัสแบบ zero-knowledge ที่จัดเก็บอยู่บนเซิร์ฟเวอร์ของบริษัท ข้อมูลเหล่านี้ไม่สามารถถอดรหัสได้หากไม่มีรหัสผ่าน หากมีผู้ใดเข้าควบคุม file server ทั้งหมดได้ (ซึ่งไม่ใช่เรื่องง่าย) และทำการแก้ไขปลอมแปลงไฟล์ของผู้ใช้ แอปของบริษัทจะตรวจพบพฤติกรรมนี้โดยใช้การตรวจสอบความถูกต้องของไฟล์ที่มี และจะไม่ถอดรหัสไฟล์ พร้อมทั้งแสดงข้อความเตือนข้อผิดพลาด

บริษัทกำลังปรับปรุงแอป และบริการของเราอย่างต่อเนื่อง แก้ไขปัญหา และเพิ่มคุณสมบัติใหม่ ๆ บริษัทจะทบทวนวิธีการเข้ารหัสอย่างละเอียด และอัปเดตให้สอดคล้องกับมาตรฐานอุตสาหกรรมในปัจจุบัน

Sync - ทีมรักษาความปลอดภัยของบริษัทได้รับทราบถึงปัญหาเหล่านี้เมื่อวันที่ 11 ตุลาคม และเราได้ดำเนินการอย่างรวดเร็วเพื่อแก้ไขปัญหาเหล่านี้แล้ว นอกจากนี้ยังได้ติดต่อกับทีมวิจัยเพื่อแบ่งปันผลการค้นพบ และร่วมมือกันในขั้นตอนต่อไป

ปัญหาการรั่วไหลของข้อมูลที่อาจเกิดขึ้นจากการแชร์ลิงก์ (ตามที่รายงาน) ได้รับการแก้ไขแล้ว และบริษัทกำลังเร่งแก้ไขปัญหาที่เหลือในขณะนี้ ตามที่เอกสารวิจัยระบุ ช่องโหว่เหล่านี้มีอยู่ในสถานการณ์ที่เซิร์ฟเวอร์ถูกเจาะ ไม่มีหลักฐานว่าช่องโหว่เหล่านี้ถูกใช้ในการโจมตี หรือมีการเข้าถึงข้อมูลไฟล์แต่อย่างใด

บริษัทเข้าใจว่าการใช้ Sync นั้น ผู้ใช้ได้มอบความไว้วางใจให้กับบริษัท แต่แนวคิดการเข้ารหัสแบบ end-to-end คือผู้ใช้งานไม่จำเป็นต้องเชื่อใจใครเลย แม้แต่บริษัทเอง แนวคิดนี้เป็นหัวใจสำคัญของโมเดลการเข้ารหัสของบริษัท และเป็นสิ่งที่บริษัทยึดถือ โดยบริษัทมุ่งมั่นที่จะแก้ไขปัญหาเหล่านี้ให้สำเร็จ

ที่มา : thehackernews