Исследователи предупредили, что облачный сервис OneDrive может предоставлять сторонним веб-приложениям доступ ко всем файлам пользователя.
Как рассказывают специалисты Oasis Security, уязвимость связана с работой OneDrive File Picker и позволяет сайтам получать доступ ко всему хранилищу пользователя, а не только к файлам, выбранным для загрузки с помощью этого инструмента.
«Это связано с чрезмерно широкими областями действия OAuth и вводящими в заблуждение диалоговыми окнами, которые не дают пользователю четкого представления о масштабах предоставляемого доступа. Уязвимость может иметь серьезные последствия, включая утечку данных клиентов и нарушение нормативных требований», — объясняют исследователи.
По оценкам компании, проблема затрагивает ряд приложений, включая ChatGPT, Slack, Trello, Zoom и ClickUp, учитывая их интеграцию с облачным сервисом Microsoft.
Корень проблемы кроется в чрезмерных разрешениях, запрашиваемых OneDrive File Picker, который требует доступ на чтение ко всему хранилищу, даже в тех случаях, когда загружается всего один файл. Это происходит из-за отсутствия детальных настроек OAuth для OneDrive.
«Проще говоря, любое веб-приложение, использующее OneDrive File Picker, имеет доступ не только к выбранному вами файлу для загрузки/скачивания, но и ко всему OneDrive. Хуже того, этот доступ может сохраняться даже после завершения загрузки файла», — поясняют исследователи.
Ситуация усугубляется тем, что запрос на согласие, который пользователи получают перед загрузкой файла, сформулирован очень размыто, и человек может не понимать в полной мере, какие именно права он предоставляет.
«Отсутствие точных настроек прав доступа не позволяет пользователям отличить вредоносные приложения, которые нацелены на все файлы, от легитимных, которые запрашивают чрезмерные права доступа просто потому, что других безопасных вариантов нет», — пишут в Oasis.
При этом эксперты добавляют, что токены OAuth зачастую хранятся небезопасным способом и сохраняются среди браузерных сессий в виде простого текста.
Другая потенциальная проблема связана с тем, что в процессе авторизации может также выдаваться токен обновления (refresh token), предоставляющий приложению постоянный доступ к данным пользователя. Так, приложение может получать новые токены доступа, не требуя от пользователя повторного входа после истечения срока действия текущего токена.
После публикации отчета Oasis Security представители Microsoft признали наличие проблемы, однако исправления для нее пока нет. Разработчики Microsoft отметили, что эта проблема не подлежит немедленному устранению, поскольку пользователь все же должен предоставить свое согласие, прежде чем будет разрешен любой доступ.
Пользователям рекомендуется рассмотреть возможность временного отключения функции загрузки файлов с использованием OneDrive и OAuth, пока не будет найдена безопасная альтернатива. Также исследователи советуют избегать использования токенов обновления и хранить токены доступа в безопасном месте, а также удалять их, если они больше не нужны.