根據資安公司 Oasis Security 的最新調查,Microsoft OneDrive 檔案選擇器存在重大權限管理疑慮。
此漏洞使包括 ChatGPT、Slack、Trello 和 ClickUp 等數百個熱門網路應用程式,能夠存取遠超出一般使用者預期的資料範圍。
報告指出,
問題源自 OneDrive 檔案選擇器請求 OAuth 授權的方式。
當使用者選擇上傳或下載檔案時,系統並未限制存取權限於被選取的檔案,反而會授予應用程式對整個 OneDrive 雲端硬碟的完整讀寫權限。這表示,即使你只是上傳單一檔案,該應用程式就能查看或修改你雲端儲存空間中的所有內容,而且這項存取權限可能會長期持續。
隱藏的存取權限問題
OAuth 是業界廣泛採用的標準授權機制,能讓應用程式在獲得使用者同意後存取其他平台上的使用者資料。然而,根據 Oasis 在週三發布的技術部落格指出,OneDrive 檔案選擇器缺乏「細粒度」的 OAuth 存取範圍設定,導致無法有效限制應用程式的存取權限。
Microsoft 目前的設計會向使用者顯示授權同意畫面,暗示應用程式只能存取被選取的檔案,但實際上卻會取得整個雲端硬碟的完整存取權限。相比之下,Google Drive 和 Dropbox 等類似服務採用更精確的權限控管機制,只允許應用程式與特定檔案或資料夾互動,不會給予完整的儲存空間存取權限。
更令人憂慮的是,
OneDrive 檔案選擇器的舊版本(6.0 至 7.2 版)採用了過時的認證機制,將敏感的存取權杖(Access Token)暴露在瀏覽器的 localStorage 或 URL 片段等不安全位置。最新的 8.0 版本雖已採用較現代的方式,但仍將這些權杖以明文形式儲存在瀏覽器的 session storage 中。若攻擊者取得本機存取權限,這些資訊就可能遭到竊取。
根據評估,目前有數百個應用程式使用 OneDrive 檔案選擇器進行檔案上傳功能,這項資安風險可能影響數百萬名使用者。以 ChatGPT 為例,使用者可以直接從 OneDrive 上傳檔案,而其每月活躍用戶超過 4 億名,凸顯了這種「過度授權」問題的嚴重規模。
資安專家的 API 安全觀點
資安業者 Salt Security 的資安長 Eric Schwake 針對此研究表示,Oasis Security 的研究揭露了 Microsoft OneDrive 與常用應用程式(如 ChatGPT、Slack 和 Trello)整合時的重大隱私風險。
由於 OneDrive 檔案選擇器的 OAuth 授權範圍過於寬鬆,第三方應用程式可存取整個雲端硬碟,而不只是使用者選取的檔案。
更嚴重的是,存取權杖(Access Token)的儲存方式不安全,形成了嚴重的 API 資安漏洞。隨著越來越多工具依賴 API 來處理敏感資料,建立嚴格的管控機制、限制存取權限,以及確保權杖安全,對於防止使用者資料外洩變得更為關鍵。
使用者與企業應採取的因應措施
建議一般使用者定期檢查有哪些第三方應用程式擁有 Microsoft 帳號的存取權限。您可以透過帳號的隱私權設定頁面查看應用程式權限,並撤銷不再信任的應用程式存取權。
如何檢查哪些第三方應用程式可以存取您的微軟帳號:
- 登入微軟帳號頁面:前往 account.microsoft.com 並登入帳號。
- 點選「隱私權」:在上方或左側選單中找到並選擇隱私權選項。
- 尋找「應用程式與服務」:在帳號設定中尋找應用程式與服務選項。
- 檢視應用程式詳細資訊:查看已獲授權存取您微軟帳號的應用程式清單。點選各個應用程式以檢視其存取權限範圍。
- 視需要撤銷存取權限:若不再信任或使用某個應用程式,點選「移除這些權限」或「停止共用」以撤銷其存取權。
建議企業用戶使用 Entra 管理中心檢視企業應用程式,並監控服務主體(Service Principal)權限,以確保應用程式的存取權限設定適當。此外,可善用 Azure CLI 等工具來自動化這個檢視程序。
開發人員應立即採取以下措施:
避免使用長期有效的重新整理權杖(Refresh Token)、
妥善保護存取權杖(Access Token),並在不需要時立即銷毀。
在 Microsoft 提供更精確的 OneDrive OAuth 授權範圍前,建議改用「僅供檢視」的共用檔案連結,而非直接整合檔案選擇器。
本文轉載自 HACKREAD。