通常情況下像 OneDrive、Google Drive 這類網(wǎng)絡(luò)云盤都會提供開放平臺供第三方開發(fā)者調(diào)用，用戶在授予相關(guān)權(quán)限后即可通過第三方應(yīng)用程序訪問云盤中的文件，這些通過 OAuth 機(jī)制進(jìn)行授權(quán)。

安全研究人員 Oasis 發(fā)現(xiàn)微軟的 OneDrive OAuth 的授權(quán)機(jī)制存在缺陷，這并非漏洞而是微軟給第三方授予的權(quán)限過于寬泛，這可能導(dǎo)致第三方讀取整個云盤中存儲的文件。

具體來說 OneDrive 提供文件選擇器，文件選擇器指的是讓用戶可以檢索文件并選擇，然后允許第三方進(jìn)行讀取，微軟使用的機(jī)制是既然用戶需要查找文件那直接給文件選擇器查看 OneDrive 所有文件的權(quán)限。

但微軟可以改進(jìn)機(jī)制，先允許 OneDrive 內(nèi)部的文件選擇器瀏覽全部文件并讓用戶選擇特定文件，然后將用戶選中的文件權(quán)限授予第三方，這樣第三方只能讀取用戶選擇后的文件。

Oasis 的研究團(tuán)隊(duì)稱因?yàn)?OneDrive OAuth 范圍過于寬泛，同時誤導(dǎo)性的同意屏幕 (指用戶授予第三方權(quán)限的提醒) 未能清楚解釋授予的訪問范圍。

這個問題會導(dǎo)致第三方可以直接讀取用戶存儲在 OneDrive 中的所有文件，可能造成客戶數(shù)據(jù)泄露或者違反合同規(guī)定等，而且很多流行的程序例如 ChatGPT、Trello 和 Slack 等也受影響，因?yàn)檫@些程序也和 OneDrive 集成。

安全團(tuán)隊(duì)還強(qiáng)調(diào)上傳文件時的消息傳遞也不夠清晰，這可能會誤導(dǎo)人們認(rèn)為這些云存儲解決方案時足夠安全的，而缺乏細(xì)粒度的授權(quán)范圍使得用戶無法區(qū)分針對所有文件的惡意程序和要求權(quán)限過多的合法程序，因?yàn)橛脩魤焊鶝]有選擇。

最后使用 OAuth 存儲的令牌通常也不夠安全，因?yàn)檫@些令牌以純文本形式保存在瀏覽器的會話存儲中，Oasis 研究團(tuán)隊(duì)已經(jīng)將該漏洞報告給微軟并得到微軟確認(rèn)，不過微軟暫時還未修復(fù)問題。

關(guān)注公眾號：拾黑（shiheibook）了解更多

友情鏈接：

關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/
安全、綠色軟件下載就上極速下載站：https://www.yaorank.com/