Il team di ricerca di Oasis Security ha identificato un grave difetto nel selettore di file di OneDrive che permette alle applicazioni web di accedere all'intero contenuto del cloud storage degli utenti, compromettendo la privacy di milioni di persone.
È stata rilevata una grave vulnerabilità nel sistema di selezione file di OneDrive che mette a rischio la sicurezza di milioni di utenti in tutto il mondo. Il problema, scoperto dai ricercatori di Oasis Security, riguarda il meccanismo attraverso cui le applicazioni web richiedono l'accesso ai file archiviati nel servizio cloud di Microsoft. Contrariamente a quanto ci si aspetterebbe da un selettore di singoli file, il sistema concede alle applicazioni esterne l'accesso completo in lettura a tutti i contenuti presenti nell'account OneDrive dell'utente.
La portata del problema è significativa e coinvolge alcune delle piattaforme più utilizzate al mondo. Tra le applicazioni interessate figurano ChatGPT di OpenAI, Slack, Trello, ClickUp e centinaia di altri servizi che implementano il File Picker di OneDrive per semplificare il caricamento dei documenti. Gli utenti che hanno utilizzato queste funzionalità potrebbero aver inconsapevolmente concesso alle app l'accesso a tutti i loro file personali e aziendali, ben oltre quello che era necessario per la specifica operazione richiesta.
OneDrive, un bug nel file picker mette a rischio la sicurezza dei dati dell'account
Il difetto ha origine nell'implementazione degli ambiti OAuth utilizzati da OneDrive. Microsoft non ha previsto ambiti granulari che permettano alle applicazioni di richiedere l'accesso esclusivamente ai file selezionati dall'utente e, secondo quanto riportato da Oasis Security, il File Picker richiede in ogni caso l'accesso in lettura all'intera unità, anche quando l'operazione riguarda un singolo documento.
La situazione è aggravata dal linguaggio vago e poco chiaro utilizzato nei prompt di consenso mostrati agli utenti, secondo la società di sicurezza: Microsoft non comunica chiaramente la reale portata delle autorizzazioni concesse, lasciando gli utenti nell'impossibilità di distinguere tra richieste legittime e potenziali tentativi di esfiltrazione dei dati.
Senza ambiti OAuth specifici, anche le applicazioni con intenzioni legittime sono costrette a richiedere permessi eccessivi.
