近日,網絡安全領域的Oasis Research Team發布了一項重要發現,指出微軟OneDrive的文件選擇器(File Picker)功能存在重大安全隱患。這一披露引起了廣泛關注。
據Oasis團隊詳細闡述,問題的核心在于文件選擇器在請求用戶權限時顯得過于寬泛,缺乏必要的OAuth權限范圍精細化控制。具體來說,即便是用戶僅意圖上傳單個文件,文件選擇器也會要求對整個云存儲驅動器的讀取權限。這種設計方式不僅令人困惑,而且極大地增加了安全風險。
更糟糕的是,Oasis團隊指出,用戶在授權過程中的體驗同樣存在不足。授權提示信息模糊,未能清晰告知用戶實際授權的范圍,使得用戶難以區分哪些應用是出于惡意目的而索取全部文件訪問權限,哪些應用則是因為技術限制而不得不請求過多權限。這種模糊性進一步加劇了安全風險。
Oasis團隊還警告稱,授權過程中使用的OAuth令牌常常以明文形式存儲在瀏覽器的會話存儲中,這使得攻擊者能夠相對容易地竊取這些令牌。更令人擔憂的是,部分授權流程還會發放refresh tokens,這些tokens允許應用在當前tokens過期后無需用戶再次登錄即可獲取新的tokens,從而能夠持續訪問用戶數據。這種機制進一步放大了安全風險,可能導致個人及企業用戶的數據長期暴露于潛在威脅之下。
面對這一嚴峻問題,微軟已經收到Oasis團隊的漏洞報告并確認了問題的存在。然而,截至目前,微軟尚未推出具體的修復措施。這引發了用戶對OneDrive安全性的擔憂,并促使行業內外對網絡安全問題展開了更為深入的討論。
