Oasis Security的网络安全研究人员最近进行的一项调查显示，微软的OneDrive文件选择器在处理权限时存在数据泄露问题，这为数百个流行的网络应用程序（包括ChatGPT、Slack、Trello和ClickUp）打开了大门，使它们可以访问比大多数人意识到的更多的用户数据。

报告称，问题源于OneDrive文件选择器请求OAuth权限的方式。系统并没有将访问权限限制在用户选择上传或下载的文件上，而是授予连接的应用程序在用户整个OneDrive上的广泛读取或写入权限。这意味着，当你点击上传单个文件时，该应用程序可能能够查看或修改你云存储中的所有内容，并在较长时间内保持这种访问权限。

OAuth是广泛使用的行业标准，允许应用在获得用户同意的情况下请求访问其他平台上的用户数据。但正如Oasis在之前分享的博客文章中所解释的那样，OneDrive文件选择器缺乏“细粒度”的OAuth权限，无法更好地限制连接的应用可以查看或执行的操作。

微软当前的设置向用户显示了一个同意屏幕，建议只访问选定的文件，但实际上，该应用程序获得了对整个驱动器的全面权限。

这与Google Drive和Dropbox等服务处理类似集成的方式截然不同。两者都提供了更精确的权限模型，允许应用程序仅与特定文件或文件夹交互，而无需交出整个存储帐户的密钥。

更令人担忧的是，旧版本的OneDrive文件选择器（6.0至7.2版本）使用了过时的身份验证流程，将敏感的访问令牌暴露在不安全的地方，例如浏览器localStorage或URL片段。即使是最新版本（8.0），虽然更新了不少，但仍然以纯文本形式将这些令牌存储在浏览器会话存储中，如果攻击者获得本地访问权限，这些令牌就很容易受到攻击。

Oasis Security估计，数百款应用使用OneDrive文件选择器来上传文件，使数百万用户面临风险。例如，ChatGPT用户可以直接从OneDrive上传文件，每月报告的用户数量超过4亿，潜在风险规模over-permissioning巨大。

Oasis在公布调查结果之前联系了微软和几家应用程序供应商。微软承认了这份报告，并表示未来可能会探索改进方案，但截至目前，该系统的运行情况与设计一致。

Salt Security网络安全战略总监Eric Sc​​hwake就该研究发表评论称：“Oasis Security的研究指出，Microsoft OneDrive与ChatGPT、Slack和Trello等热门应用的连接方式存在重大隐私风险。由于OneDrive文件选择器中的OAuth范围过于广泛，应用可以访问整个驱动器，而不仅仅是选定的文件。”

他警告说：“再加上访问令牌的不安全存储，这将带来严重的API安全挑战。随着越来越多的工具依赖API来处理敏感数据，实施严格的治理、限制权限和保护令牌以避免泄露用户信息至关重要。”

对于用户来说，值得检查哪些第三方应用可以访问你的Microsoft帐户。这可以通过帐户的隐私设置来完成，你可以在其中查看应用权限并撤销任何你不再信任的权限。

1. 转到您的Microsoft帐户页面– 访问account.microsoft.com并登录（如果尚未登录）。
2. 点击“隐私” ——在顶部或左侧菜单中，找到并点击“隐私”部分。
3. 查找“应用和服务” – 向下滚动或在帐户设置下查看您已授予访问权限的应用和服务。
4. 查看应用详细信息– 你将看到有权访问你的Microsoft帐户的应用列表。单击每个应用上的“详细信息”可查看它们可以访问的数据或范围。
5. 如有需要，撤销访问权限- 如果您不再信任或使用某个应用程序，请单击“删除这些权限”或“停止共享”以撤销其访问权限。

对于企业而言，Oasis建议在Entra管理中心审查企业应用程序，并监控服务主体权限，以了解哪些应用程序可能拥有超出预期的访问权限。使用Azure CLI等工具可以帮助自动化部分审查工作。

对于开发人员来说，最佳的即时措施包括避免使用长期有效的刷新令牌、安全存储访问令牌以及在不再需要时将其丢弃。在微软为OneDrive集成提供更精确的OAuth范围之前，我们鼓励开发人员探索更安全的解决方法，例如支持“仅查看”的共享文件链接，而不是直接集成选择器。