近日,網絡安全專家組織Oasis Research Team披露了一項關于微軟OneDrive的重大安全隱憂。該團隊在一份詳盡報告中警示,OneDrive的文件選擇器功能潛藏著一個高危安全漏洞。
據Oasis Research Team分析,問題的根源在于文件選擇器請求權限時的寬泛性,缺乏對OAuth權限的細致管理。即便是用戶意圖上傳單個文件,系統仍會要求訪問整個云存儲驅動器的權限,這種設計邏輯引發了嚴重關切。
這一設計缺陷導致用戶在授權過程中難以辨別應用是否正當請求權限。許多用戶因權限設置不當,可能在不知情的情況下授予了過多訪問權限給應用程序。同時,授權提示信息的模糊性使用戶無法準確理解實際授權的權限范圍,進一步加劇了安全風險。
更令人擔憂的是,Oasis團隊發現,OAuth令牌在授權過程中常被明文保存在瀏覽器的會話存儲中,這為攻擊者提供了可乘之機,他們可能輕易竊取這些令牌。部分授權流程還會生成refresh tokens,允許應用程序在令牌過期后無需用戶重新驗證即可獲取新的訪問令牌,持續訪問用戶數據,這一機制無疑加劇了數據泄露的風險。
Oasis Research Team強調,此類安全漏洞不僅威脅到個人用戶的數據安全,還可能對企業用戶造成重大損失,使他們的敏感數據長期處于易受攻擊的狀態。目前,微軟已確認收到相關報告并承認了問題的存在,但尚未公布具體的修復措施。
