近日，網(wǎng)絡(luò)安全領(lǐng)域的Oasis Research Team發(fā)布了一項(xiàng)重要發(fā)現(xiàn)，指出微軟OneDrive的文件選擇器（File Picker）功能存在重大安全隱患。這一披露引起了廣泛關(guān)注。

據(jù)Oasis團(tuán)隊(duì)詳細(xì)闡述，問題的核心在于文件選擇器在請(qǐng)求用戶權(quán)限時(shí)顯得過于寬泛，缺乏必要的OAuth權(quán)限范圍精細(xì)化控制。具體來說，即便是用戶僅意圖上傳單個(gè)文件，文件選擇器也會(huì)要求對(duì)整個(gè)云存儲(chǔ)驅(qū)動(dòng)器的讀取權(quán)限。這種設(shè)計(jì)方式不僅令人困惑，而且極大地增加了安全風(fēng)險(xiǎn)。

更糟糕的是，Oasis團(tuán)隊(duì)指出，用戶在授權(quán)過程中的體驗(yàn)同樣存在不足。授權(quán)提示信息模糊，未能清晰告知用戶實(shí)際授權(quán)的范圍，使得用戶難以區(qū)分哪些應(yīng)用是出于惡意目的而索取全部文件訪問權(quán)限，哪些應(yīng)用則是因?yàn)榧夹g(shù)限制而不得不請(qǐng)求過多權(quán)限。這種模糊性進(jìn)一步加劇了安全風(fēng)險(xiǎn)。

Oasis團(tuán)隊(duì)還警告稱，授權(quán)過程中使用的OAuth令牌常常以明文形式存儲(chǔ)在瀏覽器的會(huì)話存儲(chǔ)中，這使得攻擊者能夠相對(duì)容易地竊取這些令牌。更令人擔(dān)憂的是，部分授權(quán)流程還會(huì)發(fā)放refresh tokens，這些tokens允許應(yīng)用在當(dāng)前tokens過期后無需用戶再次登錄即可獲取新的tokens，從而能夠持續(xù)訪問用戶數(shù)據(jù)。這種機(jī)制進(jìn)一步放大了安全風(fēng)險(xiǎn)，可能導(dǎo)致個(gè)人及企業(yè)用戶的數(shù)據(jù)長期暴露于潛在威脅之下。

面對(duì)這一嚴(yán)峻問題，微軟已經(jīng)收到Oasis團(tuán)隊(duì)的漏洞報(bào)告并確認(rèn)了問題的存在。然而，截至目前，微軟尚未推出具體的修復(fù)措施。這引發(fā)了用戶對(duì)OneDrive安全性的擔(dān)憂，并促使行業(yè)內(nèi)外對(duì)網(wǎng)絡(luò)安全問題展開了更為深入的討論。