通常情況下像 OneDrive、Google Drive 這類網(wǎng)絡(luò)云盤都會(huì)提供開放平臺(tái)供第三方開發(fā)者調(diào)用，用戶在授予相關(guān)權(quán)限后即可通過(guò)第三方應(yīng)用程序訪問云盤中的文件，這些通過(guò) OAuth 機(jī)制進(jìn)行授權(quán)。

安全研究人員 Oasis 發(fā)現(xiàn)微軟的 OneDrive OAuth 的授權(quán)機(jī)制存在缺陷，這并非漏洞而是微軟給第三方授予的權(quán)限過(guò)于寬泛，這可能導(dǎo)致第三方讀取整個(gè)云盤中存儲(chǔ)的文件。

具體來(lái)說(shuō) OneDrive 提供文件選擇器，文件選擇器指的是讓用戶可以檢索文件并選擇，然后允許第三方進(jìn)行讀取，微軟使用的機(jī)制是既然用戶需要查找文件那直接給文件選擇器查看 OneDrive 所有文件的權(quán)限。

但微軟可以改進(jìn)機(jī)制，先允許 OneDrive 內(nèi)部的文件選擇器瀏覽全部文件并讓用戶選擇特定文件，然后將用戶選中的文件權(quán)限授予第三方，這樣第三方只能讀取用戶選擇后的文件。

Oasis 的研究團(tuán)隊(duì)稱因?yàn)?OneDrive OAuth 范圍過(guò)于寬泛，同時(shí)誤導(dǎo)性的同意屏幕 (指用戶授予第三方權(quán)限的提醒) 未能清楚解釋授予的訪問范圍。

這個(gè)問題會(huì)導(dǎo)致第三方可以直接讀取用戶存儲(chǔ)在 OneDrive 中的所有文件，可能造成客戶數(shù)據(jù)泄露或者違反合同規(guī)定等，而且很多流行的程序例如 ChatGPT、Trello 和 Slack 等也受影響，因?yàn)檫@些程序也和 OneDrive 集成。

安全團(tuán)隊(duì)還強(qiáng)調(diào)上傳文件時(shí)的消息傳遞也不夠清晰，這可能會(huì)誤導(dǎo)人們認(rèn)為這些云存儲(chǔ)解決方案時(shí)足夠安全的，而缺乏細(xì)粒度的授權(quán)范圍使得用戶無(wú)法區(qū)分針對(duì)所有文件的惡意程序和要求權(quán)限過(guò)多的合法程序，因?yàn)橛脩魤焊鶝]有選擇。

最后使用 OAuth 存儲(chǔ)的令牌通常也不夠安全，因?yàn)檫@些令牌以純文本形式保存在瀏覽器的會(huì)話存儲(chǔ)中，Oasis 研究團(tuán)隊(duì)已經(jīng)將該漏洞報(bào)告給微軟并得到微軟確認(rèn)，不過(guò)微軟暫時(shí)還未修復(fù)問題。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/