HackerNews 编译,转载请注明出处:
网络安全研究机构Oasis Security披露,微软OneDrive文件选择器存在严重权限设计漏洞,导致用户授权第三方应用时可能意外开放整个云盘访问权限。该漏洞影响数百万用户,涉及ChatGPT、Slack、Trello等数百款主流应用的集成功能。
技术分析显示,当用户通过文件选择器上传或下载特定文件时,关联的OAuth权限请求未采用细粒度控制机制,默认授予第三方应用对OneDrive全盘数据的读写权限。以7.0版本为例,即使执行上传操作仍需申请写入权限,且旧版选择器(6.0至7.2)存在OAuth令牌处理缺陷,包括使用URL片段和本地存储方式,容易导致敏感凭证泄露。尽管8.0版本将认证流程外部化,但权限范围仍未得到根本性约束。
Black Duck首席安全顾问Vijay Dilwale分析称,该问题本质是过度授权与误导性权限提示的结合产物。Sectigo资深研究员Jason Soroko指出,现有授权对话框未明确告知用户“允许访问所选文件”的实际含义是开放整个云盘访问入口。实际风险场景中,求职者通过招聘平台Phenome上传简历时,若文件存储在企业版OneDrive,可能连带暴露雇主机密文档。
Oasis Security列出四大核心风险点:
- 默认授权范围覆盖用户所有文件访问令牌有效期长达1小时以上,若配合刷新令牌可实现持久控制历史版本存在浏览器内存令牌存储安全隐患权限提示界面未清晰传达风险等级
对比其他云存储方案,Google Drive采用drive.file等细粒度权限模型,仅允许访问应用创建或用户显式选择的文件;Dropbox自定义文件选择器则完全规避OAuth机制,仅传输用户指定文件。微软虽已确认报告内容,但尚未公布修复方案。
安全建议方面,企业应启用“管理员许可”策略,禁止应用申请超出files.read的基础权限;开发者需避免使用刷新令牌,严格限制权限范围;普通用户可通过微软隐私设置页面审查已授权应用清单,及时撤销可疑访问权限。Salt Security网络安全战略总监Eric Schwake强调,所有SaaS插件在获得授权前都应视为潜在数据泄露入口,必须实施最小权限原则。
消息来源: infosecurity-magazine;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
