微软 OneDrive 曝光安全漏洞：文档选择器权限过宽可能导致数据泄露

IT 世家 5 月 30 日消息，网络安全团队 Oasis Research Team 于 5 月 28 每天发布博文，报告称微软 OneDrive 文档选择器（File Picker）存在重大安全漏洞。

IT 世家援引博文介绍，该团队表示这一漏洞的根源，因为文档选择器要求的权限太广，缺乏精细化的权限。 OAuth 控制权限范围。即使用户只上传单个文档，文档选择器，也会要求读取整个云存储驱动器的权限。

这种设计让用户很难区分哪些应用是恶意要求所有文件访问限制的，哪些应用因为缺乏安全选项而被迫要求太多权限。更糟糕的是，上传文件前用户的授权提醒模糊不清，实际授权范围无法明确告知，增强了安全隐患。

Oasis 在授权过程中使用的团队警告 OAuth 令牌经常以明确的方式存储在浏览器的对话存储中，很容易被攻击者窃取。此外，一些授权程序将被发放。 refresh tokens，当前允许使用 tokens 过期后，不需要客户再次登录即可获得新的登录。 tokens，然后继续浏览用户信息。

这种机制进一步放大了风险，可能会导致个人和公司用户的数据长期暴露。目前微软已经收到漏洞报告并确认了问题，但还没有出台修复措施。

本文仅代表作者观点，版权归原创者所有，如需转载请在文中注明来源及作者名字。

免责声明：本文系转载编辑文章，仅作分享之用。如分享内容、图片侵犯到您的版权或非授权发布，请及时与我们联系进行审核处理或删除，您可以发送材料至邮箱：service@tojoy.com