|
ChMkK2g44lWIeWCYAAEvaZUEbFgAAs_mAODqCsAAS-B611.png
网络安全团队 Oasis Research Team 于5月28日发布报告,指出微软 OneDrive 文件选择器存在严重的安全漏洞。
报告中指出,该漏洞的成因在于文件选择器请求的权限范围过于宽泛,缺乏对 OAuth 权限的精细控制。即使用户只上传单个文件,系统仍会要求对整个云存储驱动器的读取权限。
这一设计使得用户难以判断哪些应用是恶意获取全部文件访问权限,哪些则是由于权限设置不完善而误申请过多权限。同时,用户在上传文件前看到的授权提示信息不够清晰,无法准确了解实际授予的权限范围,从而提升了潜在的安全风险。
Oasis 团队还指出,在授权过程中使用的 OAuth 令牌通常以明文形式存储在浏览器的会话存储中,容易被攻击者窃取。更严重的是,部分授权流程还会生成 refresh tokens,使应用程序在令牌过期后无需用户重新登录即可获取新的访问令牌,从而持续访问用户数据。
此类机制进一步扩大了安全隐患,可能导致个人和企业用户的数据长期处于暴露状态。目前,微软已接获相关报告,并确认了问题的存在,但尚未发布修复方案。 | 
