端到端云存储安全研究
各维度得分依据公开资料与字段推算,加权后即综合评分,仅供参考。
brokencloudstorage.info是一篇学术安全研究的官方站点,内容来自即将发表在顶级安全会议ACM CCS 2024的研究《End-to-End Encrypted Cloud Storage in the Wild: A Broken Ecosystem》,由Jonas Hofmann和Kien Tuong Truong完成,核心工作是对当前主流端到端加密(E2EE)云存储生态做系统性的密码学安全审计,披露全行业普遍存在的安全缺陷。
本次研究一共分析了5家主流端到端加密云存储服务商,分别为Sync、pCloud、Icedrive、Seafile和Tresorit,在恶意服务器模型下发现前4家服务商都存在严重的密码学漏洞,漏洞类型覆盖多个维度:包括密钥替换攻击可让攻击者解密替换后用户上传的所有文件、链接分享漏洞会在用户点击分享链接时将解密密钥明文泄露给服务器、文件名/元数据可被任意篡改,甚至支持文件夹/文件注入攻击。
以加拿大服务商Sync为例,研究披露了多个具体问题:Sync的分享链接将密码放在URL而非仅客户端可见的URL片段中,点击链接时密码会明文发送给服务器,直接泄露分享文件的全部信息;由于没有绑定文件ID与文件名、内容,恶意服务器可以随意交换文件名、篡改文件大小、创建时间甚至共享权限,可栽赃用户违规分享保密文件;部分元数据未做加密认证,攻击者可随意修改。研究指出这些漏洞是多家独立设计加密方案的服务商共有的问题,暴露了行业普遍的设计缺陷。
站点本身免费公开全部研究内容,研究覆盖多个主流付费加密存储服务商,结论来自严谨的密码学分析,对用户选择服务商、开发者设计加密方案都有很高的参考价值,成果发表在顶会也保证了专业性。但目前仅披露漏洞细节,未整理服务商后续的修复进度,也没有提供给普通用户的自测工具,阅读需要一定安全知识基础。
这个站点适合关注个人数据隐私的加密云存储用户、信息安全从业者、密码学研究者以及云存储开发者使用,普通用户可以通过内容了解自己使用的服务商是否存在风险。
现有抓取内容未包含网络访问测试相关信息,无法确认中国访问状态。
本测评基于公开资料整理,不构成购买建议,请以 brokencloudstorage.info 官网实际信息为准。
ACM CCS 2024论文项目,安全研究有参考价值。
评分明细(分布与用户短评)接入中。当前展示 TG4G 综合评分,数据源自公开测评与用户反馈。