💡
原文中文,约1000字,阅读约需3分钟。
📝
内容提要
研究人员发现微软OneDrive的OAuth授权机制存在安全缺陷,允许第三方读取用户云盘中的所有文件。微软已承认该问题但尚未修复,用户在授权时未明确说明访问范围,可能导致数据泄露。
🎯
关键要点
- 研究人员发现微软OneDrive的OAuth授权机制存在安全缺陷。
- 授权范围过于宽泛,允许第三方读取用户云盘中的所有文件。
- 恶意第三方诱导用户授权可能导致数据泄露。
- 微软已承认该问题但尚未修复。
- OneDrive的文件选择器允许第三方读取所有文件,缺乏细粒度的授权控制。
- 误导性的同意屏幕未能清楚解释访问范围。
- 流行程序如ChatGPT、Trello和Slack也受影响。
- 上传文件时的消息传递不够清晰,可能误导用户。
- OAuth存储的令牌以纯文本形式保存在浏览器的会话存储中,安全性不足。
- Oasis研究团队已将漏洞报告给微软并得到确认,但问题尚未解决。
➡️
