近日,网络安全专家组织Oasis Research Team披露了一项关于微软OneDrive的重大安全隐忧。该团队在一份详尽报告中警示,OneDrive的文件选择器功能潜藏着一个高危安全漏洞。
据Oasis Research Team分析,问题的根源在于文件选择器请求权限时的宽泛性,缺乏对OAuth权限的细致管理。即便是用户意图上传单个文件,系统仍会要求访问整个云存储驱动器的权限,这种设计逻辑引发了严重关切。
这一设计缺陷导致用户在授权过程中难以辨别应用是否正当请求权限。许多用户因权限设置不当,可能在不知情的情况下授予了过多访问权限给应用程序。同时,授权提示信息的模糊性使用户无法准确理解实际授权的权限范围,进一步加剧了安全风险。
更令人担忧的是,Oasis团队发现,OAuth令牌在授权过程中常被明文保存在浏览器的会话存储中,这为攻击者提供了可乘之机,他们可能轻易窃取这些令牌。部分授权流程还会生成refresh tokens,允许应用程序在令牌过期后无需用户重新验证即可获取新的访问令牌,持续访问用户数据,这一机制无疑加剧了数据泄露的风险。
Oasis Research Team强调,此类安全漏洞不仅威胁到个人用户的数据安全,还可能对企业用户造成重大损失,使他们的敏感数据长期处于易受攻击的状态。目前,微软已确认收到相关报告并承认了问题的存在,但尚未公布具体的修复措施。
