關鍵詞

安全漏洞

近日，網絡安全公司 Oasis Security 的研究人員披露了微軟 OneDrive 文件選擇器（File Picker）在權限管理上的一個重大疏漏：這一機制允許眾多熱門 Web 應用（包括 ChatGPT、Slack、Trello 和 ClickUp）在用戶毫不知情的情況下，訪問遠超其授權范圍的數據。

問題出在 OAuth 權限范圍設置不當

報告指出，問題源自 OneDrive 文件選擇器請求 OAuth 權限的方式。正常情況下，用戶在上傳或下載某個文件時，應該只授予相關應用對那個文件的訪問權限，但目前的機制卻賦予了應用整個 OneDrive 云盤的讀寫權限。這意味著，即使你只選擇了一個文件上傳，該應用也可能獲取整個網盤的數據訪問和修改能力，且這種訪問權限可能長期保持有效。

用戶授權界面存在“誤導”

OAuth 是一種常用的授權標準，允許用戶授權第三方應用訪問其數據。但 Oasis 在其博客中指出，OneDrive 文件選擇器缺乏“精細化”的 OAuth 范圍控制（scope），讓應用獲得了遠超所需的數據訪問權限。

更令人擔憂的是，用戶在授權時看到的提示界面并沒有清晰說明這一點，通常會誤以為只授權了所選文件的訪問權，實際卻是給了整個云盤的“萬能鑰匙”。

相比之下，Google Drive 和 Dropbox在類似集成方面的權限模型更加細致，允許用戶只授予對特定文件夾或文件的訪問，而不是整個賬戶。

舊版本更存在嚴重安全隱患

研究還發現，舊版本的 OneDrive 文件選擇器（v6.0 至 v7.2）使用的是過時的認證流程，甚至會將敏感訪問令牌（access token）暴露在瀏覽器的本地存儲（localStorage）或 URL 中。

即使是最新的 v8.0 版本，雖然采用了更現代的認證機制，但仍然會將訪問令牌以明文形式保存在瀏覽器的 sessionStorage 中，若攻擊者獲取了本地訪問權限，仍然可能被利用。

影響范圍可能數以億計

Oasis Security 估計，有數百款應用通過 OneDrive 文件選擇器上傳文件，潛在受影響用戶數量巨大。例如，ChatGPT 允許用戶直接從 OneDrive 上傳文件，而其每月用戶已超過 4 億，因此實際受到過度授權影響的用戶數量可能極其龐大。

Oasis 在披露漏洞前已向微軟及相關廠商發出通知。微軟承認了該問題的存在，并表示未來可能會改進，但目前該系統依舊按“設計預期”運作。

專家點評：這是一個嚴重的 API 安全挑戰

Salt Security 網絡安全戰略總監 Eric Schwake 表示：“Oasis Security 的研究指出了一個重大隱私風險。由于 OneDrive 文件選擇器的 OAuth 權限設置過于寬泛，應用可以訪問整個云盤，而不僅是選中的文件。”

他還強調：“再加上訪問令牌存儲不安全，這就構成了嚴重的 API 安全挑戰。隨著越來越多的工具依賴 API 處理敏感數據，必須加強權限治理、限制訪問范圍，并保障令牌安全，才能避免數據暴露。”

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！