研究人员在OneDrive文件选择器中发现安全缺陷 会授予整个云盘的访问权限
山外的鸭子哥
通常情况下像 OneDrive、Google Drive 这类网络云盘都会提供开放平台供第三方开发者调用,用户在授予相关权限后即可通过第三方应用程序访问云盘中的文件,这些通过 OAuth 机制进行授权。
安全研究人员 Oasis 发现微软的 OneDrive OAuth 的授权机制存在缺陷,这并非漏洞而是微软给第三方授予的权限过于宽泛,这可能导致第三方读取整个云盘中存储的文件。
具体来说 OneDrive 提供文件选择器,文件选择器指的是让用户可以检索文件并选择,然后允许第三方进行读取,微软使用的机制是既然用户需要查找文件那直接给文件选择器查看 OneDrive 所有文件的权限。
但微软可以改进机制,先允许 OneDrive 内部的文件选择器浏览全部文件并让用户选择特定文件,然后将用户选中的文件权限授予第三方,这样第三方只能读取用户选择后的文件。
Oasis 的研究团队称因为 OneDrive OAuth 范围过于宽泛,同时误导性的同意屏幕 (指用户授予第三方权限的提醒) 未能清楚解释授予的访问范围。
这个问题会导致第三方可以直接读取用户存储在 OneDrive 中的所有文件,可能造成客户数据泄露或者违反合同规定等,而且很多流行的程序例如 ChatGPT、Trello 和 Slack 等也受影响,因为这些程序也和 OneDrive 集成。
安全团队还强调上传文件时的消息传递也不够清晰,这可能会误导人们认为这些云存储解决方案时足够安全的,而缺乏细粒度的授权范围使得用户无法区分针对所有文件的恶意程序和要求权限过多的合法程序,因为用户压根没有选择。
最后使用 OAuth 存储的令牌通常也不够安全,因为这些令牌以纯文本形式保存在浏览器的会话存储中,Oasis 研究团队已经将该漏洞报告给微软并得到微软确认,不过微软暂时还未修复问题。
![[完整参数] 谷歌 Pixel 8 和 Pixel 8 Pro 详细参数已经提前曝光](/wp-content/uploads/2023/09/image-1-2023-09-25-09-10-17-70.png)
