OneDrive文件选择器缺陷使应用程序完全访问用户驱动器

绿洲安全公司（Oasis Security）的网络安全研究人员最近进行的一项调查显示，微软的OneDrive File Picker处理权限的方式存在数据过度，导致数百个流行的网络应用程序（包括ChatGPT、Slack、Trello和ClickUp）访问的用户数据远远超出大多数人的意识。

根据报告，问题来自OneDrive文件选择器请求OAuth权限的方式。该系统不再限制用户只能访问用户选择上传或下载的文件，而是在用户的整个OneDrive中授予连接的应用程序广泛的读写权限。这意味着当你点击上传单个文件时，应用程序可能能够查看或修改云存储中的所有内容，并在很长一段时间内保持访问权限。

隐藏的访问问题

OAuth是广泛使用的行业标准，允许应用程序在用户同意的情况下请求访问另一个平台上的用户数据。但在周三发布之前，Oasis在与Hackread.com分享的博客文章中解释说，OneDrive文件选择器缺乏“细粒度”的OAuth范围，无法更好地限制连接的应用程序可以看到或做什么。

微软目前的设置向用户展示了一个同意屏幕，建议只访问选定的文件，但实际上，应用程序获得了对整个驱动器的全面权限。

这与谷歌Drive和Dropbox等服务处理类似集成的方式截然不同。两者都提供了更精确的权限模型，允许应用程序只与特定的文件或文件夹交互，而无需将密钥交给整个存储账户。

更令人担忧的是，旧版本的OneDrive File Picker（6.0到7.2版本）使用过时的身份验证流，在不安全的地方暴露敏感的访问令牌，比如浏览器localStorage或URL片段。即使是最新版本（8.0），虽然更现代，但仍然以纯文本形式将这些令牌存储在浏览器会话存储中，如果攻击者获得本地访问权限，则容易受到攻击。

数百万用户面临风险

Oasis Security估计，有数百个应用程序使用OneDrive File Picker来促进文件上传，使数百万用户处于危险之中。例如，ChatGPT用户可以直接从OneDrive上传文件，每月报告的用户超过4亿，可能的over-permissioning的规模是巨大的。

在发布调查结果之前，Oasis联系了微软和几家应用程序供应商。微软承认了这一报告，并表示未来可能会进行改进，但就目前而言，该系统仍按设计工作。API安全挑战的专家观点

Salt Security的网络安全战略总监Eric Schwake对这项研究发表了评论，他说：“Oasis Security的研究指出，微软OneDrive与ChatGPT、Slack和Trello等流行应用程序的连接存在重大隐私风险。因为OneDrive文件选择器中的OAuth范围太广，应用程序可以访问整个驱动器，而不仅仅是选定的文件。”

他警告说：“再加上访问令牌的不安全存储，这造成了严重的API安全挑战。由于越来越多的工具依赖api来处理敏感数据，因此必须应用严格的治理、限制权限和安全令牌来避免暴露用户信息。”

用户和公司应该做什么

对于用户来说，有必要检查一下哪些第三方应用程序可以访问你的微软账户。这可以通过账户的隐私设置来实现，在这里你可以查看应用程序的权限，并撤销任何你不再信任的应用程序。

如何检查哪些第三方应用程序可以访问你的微软帐户

• 转到你的微软帐户页面-访问account.microsoft.com，如果你还没有登录，请登录。

• 点击“隐私”-在顶部或左侧菜单中，找到并点击隐私部分。

• 查找“应用程序和服务”-向下滚动或查看您已获得访问权限的应用程序和服务的帐户设置。

• 查看应用程序详细信息——你会看到一个应用程序列表，这些应用程序有权访问你的微软帐户。点击每个应用程序上的详细信息，查看它们可以访问哪些数据或范围。

• 如果需要撤销访问权限—如果您不再信任或使用某个应用程序，请单击“删除这些权限”或“停止共享”来撤销其访问权限。

对于公司来说，Oasis建议在Entra管理中心检查企业应用程序，并监控服务的主要权限，看看哪些应用程序可能拥有比预期更大的访问权限。使用Azure CLI等工具可以帮助自动完成部分审查。

对于开发人员来说，最好的直接步骤包括避免使用长寿命的刷新令牌，安全地存储访问令牌，并在不再需要时处理它们。在微软为OneDrive集成提供更精确的OAuth范围之前，开发人员被鼓励探索更安全的解决方案，比如支持“仅查看”共享文件链接，而不是直接选择器集成。

原文始发于微信公众号（HackSee黑望）：OneDrive文件选择器缺陷使应用程序完全访问用户驱动器