近日,網(wǎng)絡(luò)安全領(lǐng)域的Oasis Research Team發(fā)布了一項(xiàng)重要發(fā)現(xiàn),指出微軟OneDrive的文件選擇器(File Picker)功能存在重大安全隱患。這一披露引起了廣泛關(guān)注。
據(jù)Oasis團(tuán)隊(duì)詳細(xì)闡述,問(wèn)題的核心在于文件選擇器在請(qǐng)求用戶權(quán)限時(shí)顯得過(guò)于寬泛,缺乏必要的OAuth權(quán)限范圍精細(xì)化控制。具體來(lái)說(shuō),即便是用戶僅意圖上傳單個(gè)文件,文件選擇器也會(huì)要求對(duì)整個(gè)云存儲(chǔ)驅(qū)動(dòng)器的讀取權(quán)限。這種設(shè)計(jì)方式不僅令人困惑,而且極大地增加了安全風(fēng)險(xiǎn)。
更糟糕的是,Oasis團(tuán)隊(duì)指出,用戶在授權(quán)過(guò)程中的體驗(yàn)同樣存在不足。授權(quán)提示信息模糊,未能清晰告知用戶實(shí)際授權(quán)的范圍,使得用戶難以區(qū)分哪些應(yīng)用是出于惡意目的而索取全部文件訪問(wèn)權(quán)限,哪些應(yīng)用則是因?yàn)榧夹g(shù)限制而不得不請(qǐng)求過(guò)多權(quán)限。這種模糊性進(jìn)一步加劇了安全風(fēng)險(xiǎn)。
Oasis團(tuán)隊(duì)還警告稱,授權(quán)過(guò)程中使用的OAuth令牌常常以明文形式存儲(chǔ)在瀏覽器的會(huì)話存儲(chǔ)中,這使得攻擊者能夠相對(duì)容易地竊取這些令牌。更令人擔(dān)憂的是,部分授權(quán)流程還會(huì)發(fā)放refresh tokens,這些tokens允許應(yīng)用在當(dāng)前tokens過(guò)期后無(wú)需用戶再次登錄即可獲取新的tokens,從而能夠持續(xù)訪問(wèn)用戶數(shù)據(jù)。這種機(jī)制進(jìn)一步放大了安全風(fēng)險(xiǎn),可能導(dǎo)致個(gè)人及企業(yè)用戶的數(shù)據(jù)長(zhǎng)期暴露于潛在威脅之下。
面對(duì)這一嚴(yán)峻問(wèn)題,微軟已經(jīng)收到Oasis團(tuán)隊(duì)的漏洞報(bào)告并確認(rèn)了問(wèn)題的存在。然而,截至目前,微軟尚未推出具體的修復(fù)措施。這引發(fā)了用戶對(duì)OneDrive安全性的擔(dān)憂,并促使行業(yè)內(nèi)外對(duì)網(wǎng)絡(luò)安全問(wèn)題展開(kāi)了更為深入的討論。
