近日,網(wǎng)絡(luò)安全領(lǐng)域的Oasis Research Team發(fā)布了一項重要發(fā)現(xiàn),指出微軟OneDrive的文件選擇器(File Picker)功能存在重大安全隱患。這一披露引起了廣泛關(guān)注。
據(jù)Oasis團隊詳細闡述,問題的核心在于文件選擇器在請求用戶權(quán)限時顯得過于寬泛,缺乏必要的OAuth權(quán)限范圍精細化控制。具體來說,即便是用戶僅意圖上傳單個文件,文件選擇器也會要求對整個云存儲驅(qū)動器的讀取權(quán)限。這種設(shè)計方式不僅令人困惑,而且極大地增加了安全風(fēng)險。
更糟糕的是,Oasis團隊指出,用戶在授權(quán)過程中的體驗同樣存在不足。授權(quán)提示信息模糊,未能清晰告知用戶實際授權(quán)的范圍,使得用戶難以區(qū)分哪些應(yīng)用是出于惡意目的而索取全部文件訪問權(quán)限,哪些應(yīng)用則是因為技術(shù)限制而不得不請求過多權(quán)限。這種模糊性進一步加劇了安全風(fēng)險。
Oasis團隊還警告稱,授權(quán)過程中使用的OAuth令牌常常以明文形式存儲在瀏覽器的會話存儲中,這使得攻擊者能夠相對容易地竊取這些令牌。更令人擔(dān)憂的是,部分授權(quán)流程還會發(fā)放refresh tokens,這些tokens允許應(yīng)用在當(dāng)前tokens過期后無需用戶再次登錄即可獲取新的tokens,從而能夠持續(xù)訪問用戶數(shù)據(jù)。這種機制進一步放大了安全風(fēng)險,可能導(dǎo)致個人及企業(yè)用戶的數(shù)據(jù)長期暴露于潛在威脅之下。
面對這一嚴峻問題,微軟已經(jīng)收到Oasis團隊的漏洞報告并確認了問題的存在。然而,截至目前,微軟尚未推出具體的修復(fù)措施。這引發(fā)了用戶對OneDrive安全性的擔(dān)憂,并促使行業(yè)內(nèi)外對網(wǎng)絡(luò)安全問題展開了更為深入的討論。
