近日，網(wǎng)絡(luò)安全領(lǐng)域的Oasis Research Team發(fā)布了一項重要發(fā)現(xiàn)，指出微軟OneDrive的文件選擇器（File Picker）功能存在重大安全隱患。這一披露引起了廣泛關(guān)注。

據(jù)Oasis團隊詳細闡述，問題的核心在于文件選擇器在請求用戶權(quán)限時顯得過于寬泛，缺乏必要的OAuth權(quán)限范圍精細化控制。具體來說，即便是用戶僅意圖上傳單個文件，文件選擇器也會要求對整個云存儲驅(qū)動器的讀取權(quán)限。這種設(shè)計方式不僅令人困惑，而且極大地增加了安全風(fēng)險。

更糟糕的是，Oasis團隊指出，用戶在授權(quán)過程中的體驗同樣存在不足。授權(quán)提示信息模糊，未能清晰告知用戶實際授權(quán)的范圍，使得用戶難以區(qū)分哪些應(yīng)用是出于惡意目的而索取全部文件訪問權(quán)限，哪些應(yīng)用則是因為技術(shù)限制而不得不請求過多權(quán)限。這種模糊性進一步加劇了安全風(fēng)險。

Oasis團隊還警告稱，授權(quán)過程中使用的OAuth令牌常常以明文形式存儲在瀏覽器的會話存儲中，這使得攻擊者能夠相對容易地竊取這些令牌。更令人擔(dān)憂的是，部分授權(quán)流程還會發(fā)放refresh tokens，這些tokens允許應(yīng)用在當(dāng)前tokens過期后無需用戶再次登錄即可獲取新的tokens，從而能夠持續(xù)訪問用戶數(shù)據(jù)。這種機制進一步放大了安全風(fēng)險，可能導(dǎo)致個人及企業(yè)用戶的數(shù)據(jù)長期暴露于潛在威脅之下。

面對這一嚴(yán)峻問題，微軟已經(jīng)收到Oasis團隊的漏洞報告并確認了問題的存在。然而，截至目前，微軟尚未推出具體的修復(fù)措施。這引發(fā)了用戶對OneDrive安全性的擔(dān)憂，并促使行業(yè)內(nèi)外對網(wǎng)絡(luò)安全問題展開了更為深入的討論。