近日，網(wǎng)絡(luò)安全專家組織Oasis Research Team披露了一項(xiàng)關(guān)于微軟OneDrive的重大安全隱憂。該團(tuán)隊(duì)在一份詳盡報(bào)告中警示，OneDrive的文件選擇器功能潛藏著一個(gè)高危安全漏洞。

據(jù)Oasis Research Team分析，問(wèn)題的根源在于文件選擇器請(qǐng)求權(quán)限時(shí)的寬泛性，缺乏對(duì)OAuth權(quán)限的細(xì)致管理。即便是用戶意圖上傳單個(gè)文件，系統(tǒng)仍會(huì)要求訪問(wèn)整個(gè)云存儲(chǔ)驅(qū)動(dòng)器的權(quán)限，這種設(shè)計(jì)邏輯引發(fā)了嚴(yán)重關(guān)切。

這一設(shè)計(jì)缺陷導(dǎo)致用戶在授權(quán)過(guò)程中難以辨別應(yīng)用是否正當(dāng)請(qǐng)求權(quán)限。許多用戶因權(quán)限設(shè)置不當(dāng)，可能在不知情的情況下授予了過(guò)多訪問(wèn)權(quán)限給應(yīng)用程序。同時(shí)，授權(quán)提示信息的模糊性使用戶無(wú)法準(zhǔn)確理解實(shí)際授權(quán)的權(quán)限范圍，進(jìn)一步加劇了安全風(fēng)險(xiǎn)。

更令人擔(dān)憂的是，Oasis團(tuán)隊(duì)發(fā)現(xiàn)，OAuth令牌在授權(quán)過(guò)程中常被明文保存在瀏覽器的會(huì)話存儲(chǔ)中，這為攻擊者提供了可乘之機(jī)，他們可能輕易竊取這些令牌。部分授權(quán)流程還會(huì)生成refresh tokens，允許應(yīng)用程序在令牌過(guò)期后無(wú)需用戶重新驗(yàn)證即可獲取新的訪問(wèn)令牌，持續(xù)訪問(wèn)用戶數(shù)據(jù)，這一機(jī)制無(wú)疑加劇了數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

Oasis Research Team強(qiáng)調(diào)，此類(lèi)安全漏洞不僅威脅到個(gè)人用戶的數(shù)據(jù)安全，還可能對(duì)企業(yè)用戶造成重大損失，使他們的敏感數(shù)據(jù)長(zhǎng)期處于易受攻擊的狀態(tài)。目前，微軟已確認(rèn)收到相關(guān)報(bào)告并承認(rèn)了問(wèn)題的存在，但尚未公布具體的修復(fù)措施。