🔍 Forrás: Oasis Security kutatása
🎯 Érintett technológia: Microsoft OneDrive File Picker
📈 Kockázati szint: Kritikus
🌍 Hatás: Több millió felhasználó érintett világszerte
🛠️ A probléma gyökere: túlzott OAuth jogosultságok
A sebezhetőség oka a OneDrive fájlmegosztó rendszerének hibás jogosultságkezelése. A Microsoft által használt OAuth jogosultságok túl szélesek, és félrevezető módon jelennek meg a felhasználók számára.
- Ahelyett, hogy csak az adott fájlhoz kérne hozzáférést, a rendszer az egész tárhelyre kiterjedő engedélyeket kér:
- Files.Read.All
- Files.ReadWrite.All
➡️ Így már egyetlen fájl feltöltése is azt eredményezi, hogy a harmadik fél alkalmazásai hozzáférhetnek az összes fájlodhoz és mappádhoz – anélkül, hogy ezt tudatosítanád.
🔄 Összehasonlítás más platformokkal
| Platform | Jogosultság típusa | Hozzáférés szintje |
|---|---|---|
| Google Drive | drive.file | Csak a kiválasztott fájl |
| Dropbox | Saját Chooser SDK-t használ | OAuth nélküli, biztonságos feltöltés |
| OneDrive | Files.Read.All, stb. | Teljes tárhelyhez hozzáfér |
📉 A Microsoft rendszere nem biztosít fájlszintű jogosultság-kezelést, ami ellentétes az „legtöbb jogosultság helyett legkevesebb szükséges jogosultság” elvével.
🔓 Kiemelt kockázatok
🧠 Felhasználói megtévesztés
A felhasználók számára megjelenített engedélykérő ablak nem egyértelműen kommunikálja, hogy valójában teljes tárhelyhozzáférést adnak.
🧩 Széleskörű hatás
A sérülékenység több száz ismert alkalmazást érint, köztük:
- ChatGPT
- Slack
- Trello
- ClickUp
➡️ Ezek milliónyi felhasználónál biztosíthattak jogosulatlan fájlhozzáférést.
🔐 Tokenkezelési és tárolási hibák
Oasis Security szerint a File Picker hibásan kezeli az autentikációs tokeneket:
| Verzió | Probléma |
|---|---|
| 6.0–7.2 | Token URL fragmentben, localStorage-ben – nem biztonságos |
| 8.0 | MSAL alapú, de a tokeneket sima szövegként sessionStorage-ben tárolja |
👉 A Refresh Token használata ráadásul több órás hozzáférést biztosít, ha nem biztonságosan tárolják.
❌ Nincs lehetőség fájl-szintű engedélyezésre
Fejlesztők jelenleg csak a következő delegált jogosultságok közül választhatnak:
- MyFiles.Read
- Sites.Read.All
- Files.ReadWrite.All
➡️ Ez lehetetlenné teszi a korlátozott hozzáférés megvalósítását a OneDrive API használatával.
🛡️ Microsoft reakciója
A Microsoft elismerte a problémát, és közölte, hogy „a jövőben javításokat mérlegel”, de konkrét megoldási határidőt nem adtak meg.
✅ Javasolt lépések
👤 Felhasználók számára:
- Ellenőrizd a Microsoft-fiók alkalmazásengedélyeit: 👉 https://account.live.com/consent/Manage
- Vonj vissza minden gyanús vagy nem szükséges alkalmazásengedélyt.
🏢 Szervezeteknek:
- Alkalmazz adminisztrátori engedélykéréseket, hogy megelőzd a túlzott jogosultságokat kérő appokat.
- Feltételes hozzáférési szabályokat vezess be (pl. IP-cím, helyalapú tiltás).
- Használj CASB és Graph API naplózást a gyanús tevékenységek észleléséhez.
👨💻 Fejlesztőknek:
- Ne kérj offline_access vagy Refresh Token jogokat, ha nem szükséges.
- Tokeneket titkosított tárhelyen tárold, ne localStorage-ben vagy nyers adatbázisban.
- Mindig a minimálisan szükséges jogosultságot kérd.
