近日，網(wǎng)絡(luò)安全專家組織Oasis Research Team披露了一項關(guān)于微軟OneDrive的重大安全隱憂。該團(tuán)隊在一份詳盡報告中警示，OneDrive的文件選擇器功能潛藏著一個高危安全漏洞。

據(jù)Oasis Research Team分析，問題的根源在于文件選擇器請求權(quán)限時的寬泛性，缺乏對OAuth權(quán)限的細(xì)致管理。即便是用戶意圖上傳單個文件，系統(tǒng)仍會要求訪問整個云存儲驅(qū)動器的權(quán)限，這種設(shè)計邏輯引發(fā)了嚴(yán)重關(guān)切。

這一設(shè)計缺陷導(dǎo)致用戶在授權(quán)過程中難以辨別應(yīng)用是否正當(dāng)請求權(quán)限。許多用戶因權(quán)限設(shè)置不當(dāng)，可能在不知情的情況下授予了過多訪問權(quán)限給應(yīng)用程序。同時，授權(quán)提示信息的模糊性使用戶無法準(zhǔn)確理解實際授權(quán)的權(quán)限范圍，進(jìn)一步加劇了安全風(fēng)險。

更令人擔(dān)憂的是，Oasis團(tuán)隊發(fā)現(xiàn)，OAuth令牌在授權(quán)過程中常被明文保存在瀏覽器的會話存儲中，這為攻擊者提供了可乘之機(jī)，他們可能輕易竊取這些令牌。部分授權(quán)流程還會生成refresh tokens，允許應(yīng)用程序在令牌過期后無需用戶重新驗證即可獲取新的訪問令牌，持續(xù)訪問用戶數(shù)據(jù)，這一機(jī)制無疑加劇了數(shù)據(jù)泄露的風(fēng)險。

Oasis Research Team強(qiáng)調(diào)，此類安全漏洞不僅威脅到個人用戶的數(shù)據(jù)安全，還可能對企業(yè)用戶造成重大損失，使他們的敏感數(shù)據(jù)長期處于易受攻擊的狀態(tài)。目前，微軟已確認(rèn)收到相關(guān)報告并承認(rèn)了問題的存在，但尚未公布具體的修復(fù)措施。