💡
原文中文,约1000字,阅读约需3分钟。
📝
内容提要
研究人员发现微软OneDrive的OAuth授权机制存在安全缺陷,允许第三方读取用户云盘中的所有文件。微软已承认该问题但尚未修复,用户在授权时未明确说明访问范围,可能导致数据泄露。
🎯
关键要点
- 研究人员发现微软OneDrive的OAuth授权机制存在安全缺陷。
- 授权范围过于宽泛,允许第三方读取用户云盘中的所有文件。
- 恶意第三方诱导用户授权可能导致数据泄露。
- 微软已承认该问题但尚未修复。
- OneDrive的文件选择器允许第三方读取所有文件,缺乏细粒度的授权控制。
- 误导性的同意屏幕未能清楚解释访问范围。
- 流行程序如ChatGPT、Trello和Slack也受影响。
- 上传文件时的消息传递不够清晰,可能误导用户。
- OAuth存储的令牌以纯文本形式保存在浏览器的会话存储中,安全性不足。
- Oasis研究团队已将漏洞报告给微软并得到确认,但问题尚未解决。
❓
延伸问答
OneDrive的OAuth授权机制存在什么安全缺陷?
OneDrive的OAuth授权机制授权范围过于宽泛,允许第三方读取用户云盘中的所有文件。
这个安全缺陷可能导致什么后果?
可能导致用户数据泄露或违反合同规定。
微软对此问题的回应是什么?
微软已承认该问题,但尚未修复。
哪些流行程序受到此安全缺陷的影响?
ChatGPT、Trello和Slack等程序也受到影响。
如何改善OneDrive的授权机制?
可以先允许用户选择特定文件,然后将权限授予第三方,避免授予所有文件的访问权限。
OAuth存储的令牌存储方式存在哪些安全隐患?
这些令牌以纯文本形式保存在浏览器的会话存储中,安全性不足。
➡️
